Um seinen Kontrollserver besser zu tarnen, senden die Zombie-Systeme des Botnetzes Pushdo falsche SSL-Anfragen an große Websites. Dieses neuartige Vorgehen hat SecureWorks-Mitarbeiter Joe Stewart jetzt öffentlich gemacht.
Zu den Servern, die zur Tarnung kontaktiert werden, zählen laut Shadow Server Foundation die der CIA, des FBI, von Paypal, Yahoo und Twitter. Ziel ist es nicht, diese Server lahmzulegen. Als Betreiber sieht man nur „einige seltsamen Verbindungen, die völlig sinnlos erscheinen. Es sieht so aus, als sollte ein SSL Handshake eingeleitet werden. Die Anfrage ist aber fehlerhaft, und danach kommt nichts mehr“, so Stewart.
Stewarts Theorie ist, dass der fehlerhafte SSL-Verkehr verhindern soll, dass eine Analyse des von einem Zombie ausgehenden Traffics zum Kontrollserver des Botnetzes führt. Pushdo verwendet nämlich für solche Verbindungen ebenfalls einen gefälschten SSL-Header. „Bei einer oberflächlichen Untersuchung sieht das alles wie SSL-Traffic aus.“
Das Internet-Verschlüsselungsverfahren SSL wird gewöhnlich verwendet, um Daten wie Passwörter oder Kreditkartennummern für andere unsichtbar über das Internet zu versenden. Seine wichtigsten Einsatzgebiete sind Onlineshopping und Onlinebanking.
Pushdo lädt immer wieder neue Trojaner auf einmal infizierte Systeme. Es wurde laut Stewart unter anderem schon für Spamversand mit dem Spambot „Cutwail“ genutzt.
Er schätzt die Zahl der angeschlossenen Systeme auf 300.000. Die Betreiber säßen vermutlich in Osteuropa und vermieteten die gesammelte Rechenkraft an Kriminelle. „Das ist ein typisches ‚Pay-per-install‘-System“, so Stewart – also eines, für das der Betreiber eine Gebühr pro bereitgestelltem Fremdrechner verlangt. Es werde verwendet, um Onlinebanking-Trojaner, Tools für Passwortdiebstahl und das Anklicken von Anzeigen oder Suchbetrug zu verteilen.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…