Twitter-Wurm missbraucht Googles Kurz-URL-Dienst Goo.gl

Twitter-Nutzer werden aktuell von einem neuen Wurm bedroht. Er versteckt sich hinter Links, die mit Googles Dienst Goo.gl verkürzt wurden, und leitet Nutzer an eine Website weiter, die zur Installation einer falschen Antivirensoftware (Scareware) verleitet. Eine Twitter-Suche ergab gestern Tausende Nachrichten, die den Wurm verbreiten.

Nach Angaben von Nicolas Brulez, Sicherheitsforscher bei Kaspersky Lab, werden Nutzer, die auf einen der manipulierten Links klicken, über mehrere Stationen an eine Website weitergeleitet, die die Scareware „Security Shield“ anbietet. Der Weg führt unter anderem über eine Domain in der Ukraine.

Beim Besuch der Site erscheint eine Warnmeldung, dass angeblich eine verdächtige Anwendung ausgeführt wird. Dann wird das Opfer aufgefordert, einen Scan seines Rechners durchzuführen, wodurch die vermeintliche Antivirensoftware heruntergeladen und installiert wird.

Bei einer Analyse der Website hat Kaspersky festgestellt, dass sie das RSA-Kryptosystem verwendet, um ihren Code zu verschleiern. Brulez zufolge wurde diese Technik schon für eine frühere Version der Scareware namens „Security Tool“ verwendet.

Im September hatte ein Angriff auf Twitter mit einem XSS-Wurm für Aufsehen gesorgt, der Nachrichten mit JavaScript-Code verschickte und eine Lücke im Twitter-Code nutzte. Programmiert hatte ihn ein 17-jähriger Australier, der nach eigenen Angaben ausprobieren wollte, „ob man JavaScript tatsächlich innerhalb eines Tweets ausführen kann.“ Die Attacke betraf über 500.000 Twitter-Nutzer, darunter auch das Weiße Haus sowie die Frau des britischen Ex-Premiers Gordon Brown.