121570

Botnet-Farmer locken mit Spielen und suchen Geldwäscher

18.09.2007 | 09:16 Uhr |

Die neueste Masche der Sturm-Wurm-Bande sind Mails, die potenzielle Opfer auf Websites mit vermeintlichen Spiele-Downloads locken sollen. Außerdem verbreiten bereits rekrutierte Zombie-Rechner massenhaft dubiose Jobangebote.

Das Botnet der Storm-Worm-Gang wird fleißig weiter ausgebaut. Die aktuelle Mail-Kampagne versucht potenzielle Opfer auf grafisch vergleichsweise aufwändig gestaltete Websites zu locken, wo sie sich ein vermeintliches Spiel herunter laden sollen. Die Mail kommen mit einem Betreff wie "Wow, cool games!", "1000+ Free Games!", "GAMES! GAMES!" oder auch "The internet just got better". Sie enthalten meist nur den Text "Enjoy" sowie einen Link auf eine IP-Adresse.

Die verlinkten Websites sind alle identisch und zeigen im Vergleich zu früheren Kampagnen recht viele Bilder. Damit soll eine Download-Site für kostenlose Spiele vorgetäuscht werden. Alle Links auf der Seite zeigen allerdings auf die selbe Datei namens "ArcadeWorld.exe". Dabei handelt es sich um ein Trojanisches Pferd aus der Sturm-Wurm-Familie (Nuwar, Peacomm, Tibs, Zhelatin). Die Web-Seiten enthalten im Gegensatz zur vorherigen " NFL-Kampagne " jetzt wieder Javascript-Code, mit dem Sicherheitslücken im Browser ausgenutzt werden sollen.

Laut Nicolas Falliere von Symantec Security Response ist eine derzeit zu beobachtende Welle von Spam-Mails, die Jobs als Geldwäscher für Kriminelle anbieten, ebenfalls auf das Botnet der Sturm-Wurm-Bande zurück zu führen. Sie enthalten Links auf eine Website, auf der ein "Supplier" unverblümt eine Provision von 10 Prozent für das "Waschen" von ergaunertem Geld anbietet.

Eine weitere, für die Sturm-Wurm-Bande neue Methode ist das Kompromittieren legitimer Websites. Haben sich die Täter bislang vor allem durch eine große Zahl kurzlebiger eigener Websites auf Botnet-Rechnern hervor getan, berichtet das Sicherheitsunternehmen Websense nun über einen erfolgreichen Angriff auf eine Website der Republikanischen Partei in den USA . Die Seiten sind mit einem am Ende eingefügten Iframe versehen worden, der schädlichen Code aus der Sturm-Wurm-Familie lädt. Inzwischen ist zumindest diese Website wieder sauber.

0 Kommentare zu diesem Artikel
121570