Antivirus-Nepp
Scareware-Seiten mit gefälschter Firefox-Warnung
Die Fälschung der von Firefox bei potenziell gefährlichen Websites ausgegebenen Warnseite durch Scareware-Banden hat ein neues Niveau erreicht. Nun werden die vorgeblichen Virenfunde in die Nachahmung dieser Seite integriert.
Das Geschäft mit falschen Antivirusprogrammen floriert, auch weil die Online-Kriminellen sich immer wieder neue Tricks ausdenken. In den letzten Wochen stand vor allem Mac OS X als neue Zielscheibe im Mittelpunkt des Interesses, doch auch für Windows-Nutzer haben die Verbreiter so genannter Scareware wieder neue Überraschungen parat, wie Chester Wisniewski im Sophos Blog zu berichten weiß.
Die Scareware-Falle wird wie üblich mittels Suchmaschinenoptimierung vorbereiteter Umleitungsseiten aufgespannt, die aktuelle Themen aufgreifen. Klickt ein potenzielles Opfer auf einen solchen Link in der Trefferliste von Google & Co, landet es zunächst auf einer Seite, die überprüft, ob der Besucher über die Google-Suche dorthin gefunden hat. Zudem werden der verwendete Browser und das Betriebssystem versionsgenau identifiziert.
Erkennt das Script eine Windows-Version von Firefox, leitet es den Besucher auf eine gefälschte Warnseite um, die der von Firefox erzeugten Warnmeldung nachempfunden ist. Sie unterscheidet sich vom Original unter anderem dadurch, dass sie vor einer bereits erfolgten Infektion des Rechners warnt. Eine solche Funktion ist in Firefox nicht enthalten.
Die Online-Kriminellen haben vielmehr die vorgeblichen Virenfunde in die gefälschte Warnseite integriert. Das darin angezeigte "Scan-Ergebnis" weist eine ganze Reihe von Schädlingen aus, die vorgeblich auf dem PC des Opfers gefunden worden sind. Ein Klick auf die Schaltfläche "Start Protection" am unteren Rand der Seite startet den Download eines Scareware-Programms. IE-Benutzer bekommen die übliche Explorer-Imitation zu sehen, der Download startet bei einem Klick irgendwo auf der Seite.
Wie üblich verlangen die Betrüger für eine Vollversion ihrer Luftnummer einen selbst für eine ausgewachsene echte Antiviruslösung sehr hohen Preis. Nur diese Vollversion soll in der Lage sein die (nicht existierenden) Schädlinge zu entfernen. Tatsächlich würden die nervigen Warnmeldungen für eine Weile verschwinden, sollte das Opfer auf diese Masche herein fallen. Schutz vor richtiger Malware bieten solche Programme jedoch nicht einmal ansatzweise.
Die Täter erhalten auf diese Weise nicht nur die 80 US-Dollar für ihre Scheinlösung, sondern auch die Kreditkartendaten des Opfers. Die können sie weiter verkaufen oder für eigene Shopping-Touren im Web benutzen.
31.05.11
Gestern bin ich auf auf so einer Seite gelandet, weil ein veralteter Link mich dahin brachte. Das Resultat fand ich lustig: Es sollten 18 Windows-Viren auf meinem Linux-PC vorhanden bzw. aktiv sein. Haha!
Es starte auch gleich ein Download-Dialog, den ich dann mal abgewiesen habe.
Wenn ich jetzt wüsste, ob die Hacker schon beim Download protokollieren, welche IP das Programm geladen hat, bzw. ob die Abrufe gezählt werden, würde ich mittels einiger virtueller Windows-Maschinen einen Honeypot setzen. So dürften die Hacker sich vielleicht ärgern, dass viel mehr Programme aktiv sind, als brauchbare Daten zurückkommen. Das würde natürlich deutlich mehr Sinn machen, wenn auch andere Honeypots setzen.
Antwort schreiben
31.05.11
wiedermal die übliche masche. von 100 leuten fallen 5 drauf rein, installieren die scareware und von den 5 kaufen dann 4 das exklusive all-in-one-remover-tool. damit ist das ziel erreicht und die seite war erfolgreich.
jeden tag steht ein dummer auf. man muß ihn nur finden
Antwort schreiben