Die meisten Malware-Angriffe haben einen wirtschaftlichen Hintergrund, d. h. jemand möchte damit Geld verdienen. Werbenetzwerke sind eine beliebte Möglichkeit, um leicht Geld zu verdienen, ohne dem Benutzer notwendigerweise zu schaden, jedenfalls nicht direkt. Im aktuellen Fall haben wir einen anspruchsvollen Ansatz entdeckt, der nahelegt, dass diese Art von Angriffen lohnenswert sein muss!
Es beginnt mit einem Eintrag auf der Facebook-Pinnwand eines Nutzers.
Die verkürzte URL führt zu einer langen URL, die ausschließlich dazu dient, das Herkunftsland des Nutzers festzustellen. Je nach Ergebnis gerät der Nutzer in eine eindrucksvolle Weiterleitungskette mit zahlreichen, per iFrames eingebundenen Werbediensten. Jeder “Besuch” dieser Websites lässt beim Angreifer die Kasse klingeln.
Die Grafik der Weiterleitungskette zeigt, was passiert, wenn in Deutschland jemand auf die kurze URL des gefakten Pinnwandeintrags klickt. Die Website, die das Herkunftsland des Besuchers überprüft, unterscheidet zwischen drei Möglichkeiten, wobei drei URLs involviert sind:
Wenn das Land GB ist:
arLinks[0] = "the*****ter.com/313/index.php";
arLinks[1] = "the*****ter.com/313/index.php";
arLinks[2] = "the*****fly.com/final2.php";
Wenn das Land NL, IE, FR ist:
the*****ter.com/313/index.php
Wenn das Land US, AU, ZA, CA, BE, ES ist:
the*****fly/final2.php
Jedes andere Land:
justforfunapps.com
Wenn die Website also von Großbritannien aus besucht wird, besteht die 2/3-Wahrscheinlichkeit, dass der Besucher nach the*****ter.com/313/index.php weitergeleitet wird, und die 1/3-Wahrscheinlichkeit, dass er auf the*****fly/final2.php landet. Alle anderen Länder haben eine feste HTTP-Destination.
Wie Sie sehen, wird die von Deutschland aus aufgerufene Ziel-Website mit Werbung für verschiedene Produkte und Webdienste geladen. Glücklicherweise sind die eingebetteten Links und Bilder zwar nicht schädlich, aber die Angreifer können den Traffic auf jede gewünschte Website weiterleiten – und das ist der Punkt, an dem sich ein guter HTTP-Filter als nützlich erweist, mit dem Sie sich und Ihren Computer schützen können!
Auf den anderen Websites haben wir verschiedene Versionen von Gutschein-Spam und Lotteriespielen gefunden, bei denen der Nutzer nach persönlichen Daten wie Handynummer, E-Mail-Adresse usw. gefragt wird. Wenn Sie mehr über diese Art von Spam erfahren möchten, dann lesen Sie unsere früheren Blog-Einträge, insbesondere “Gutschein-Manie” oder “Ein Gratis-Gutschein im Wert von 50 €?! ‘Hey, ich bin doch nicht blöd!’” – Jedenfalls ist es keine gute Idee, auf diesen Websites persönliche Daten weiterzugeben!
Die betreffende Facebook-App wird als "Checker" bezeichnet. Sobald sie von jemandem in einem Facebook-Profil installiert wird, postet sie auf der Pinnwand einen qualitativ minderwertigen Screenshot einer angeblich vorhandenen Toolbar mit der Bezeichnung "Kürzliche Profilaufrufe" (siehe oben). Eine solche Toolbar existiert nicht und wir haben bereits mehrmals vor derartigen gefälschten Ankündigungen gewarnt. Facebook weist im öffentlichen Hilfebereich ebenfalls darauf hin.
Weil die App auf der Pinnwand des Opfers nicht nur ein qualitativ minderwertiges Bild postet, sondern darauf auch den Besitzer des Profils und viele, wenn nicht sogar alle, seiner Freunde markiert, erhalten sogar die Freunde, die den Pinnwandeintrag nicht sehen, eine Benachrichtigung, dass sie markiert wurden. Dadurch wird die Wahrscheinlichkeit erhöht, dass mehr Nutzer auf den Link klicken, denn Nachrichten von Freunden werden zumeist als glaubwürdig betrachtet. Aber selbst ein Freund kann auf solch einen Betrug hereinfallen und deshalb sollte jede Nachricht mit Vorsicht behandelt werden.
Wenn Sie aufgefordert werden, in Ihrem sozialen Netzwerk-Profil eine App zu installieren, sollten Sie sich erst einmal anschauen, welche Berechtigungen die App bei der Installation verlangt. Dabei sollten Sie sorgfältig abwägen, ob Sie diese Berechtigungen tatsächlich vergeben wollen!