
Die Virus-Analysten des kanadischen Security-Unternehmens ESET haben den Wurm auf den Namen "Linux/Moose" getauft. Ihren Erkenntnissen zufolge, verwandelt er die infizierten Geräte in ein riesiges Proxy-Netzwerk, über das Social Networks mit betrügerischen Methoden geflutet werden. Zu den Zielen gehören unter anderem Facebook, Instagram, Twitter und Vine. Aber auch verschiedene Google-Dienste und YouTube werden attackiert.
Dafür lauert die Malware in den Netzwerksystemen unter anderem darauf, dass ihr unverschlüsselte Cookies für Social Media-Dienste unterkommen. Diese werden dann beispielsweise genutzt, um die jeweiligen Anwender ohne ihr Wissen als Follower mit Accounts von Betrügern zu verbinden. Teils werden aber auch die DNS-Einträge in den Routern überschrieben, um Nutzer auf andere Webseiten zu leiten und dort Daten zu stehlen.
Attacke per Telnet
Der Wurm verbreitet sich dabei, indem er nach Netzwerksystemen sucht, die sich über das Internet per Telnet ansprechen lassen. Ist ein solcher gefunden, werden per Brute-Force-Angriff verschiedene Standard-Logins durchprobiert, um einen Zugang zu dem Gerät zu bekommen. Ist dies erfolgreich, kommt es zur Installation der Schadcodes auf dem jeweiligen System und die Routinen beginnen zu arbeiten.Die Erschaffer des Wurms kommunizieren per HTTPS mit ihrer Malware und können ihr über eine Kontroll-Infrastruktur neue Handlungsbefehle zukommen lassen. Darauf baut auch ein Geschäftsmodell der Entwickler auf. Ihnen gelingt es so, echte Nutzer-Accounts als neue Follower an interessierte Firmen zu verkaufen, die so vorgaukeln können, dass ihre jeweiligen Seiten in den sozialen Netzwerken auf reges Interesse stoßen. Die Infrastruktur agiert dabei geschickt genug, um die Sicherheits-Hürden der jeweiligen Plattformen auszutricksen. So werden einem Account beispielsweise rund 40 neue Follower pro Stunde hinzugefügt und nicht tausende auf einmal.
Die Entwickler des Wurms haben es zwar deutlich auf Geräte in Heimnetzwerken abgesehen, nehmen aber Kollateralschäden in Kauf. So wurde der Schädling beispielsweise bereits auf medizinischen Systemen entdeckt, die mit Linux laufen und eine Internet-Anbindung haben. Von Vorteil ist die Tatsache, dass sich die Malware meist nur in den Arbeitsspeicher einnisten kann und nach einem Neustart des jeweiligen Systems so erst einmal nicht mehr vorhanden ist. Bleibt die Möglichkeit einer Telnet-Verbindung von Außen aber bestehen, kommt sie kurze Zeit später zurück.

2015-05-27T12:26:00+02:00Christian Kahle
Alle Kommentare zu dieser News anzeigen