Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 11 2014

Kaspersky findet Spionagesoftware – vermutlich aus einem spanischsprachigen Land

Die russische Sicherheitssoftware-Firma Kaspersky Lab hat gestern bekanntgegeben, Schadprogramme gefunden zu haben, die seit 2007 Cyberspionage-Aktivitäten durchführen. In der Zusammenfassung von Kaspersky ist von mehr als 380 Betroffenen in 31 Ländern die Rede. Zu den Zielen gehörten gleichermaßen Regierungsinstitutionen, diplomatische Einrichtungen, Industriekonzerne, Privat- und Forschungsunternehmen sowie Aktivisten.

Hat die Software ein System über eine Phishing-Webseite wie Kopien von The Guardian oder El País befallen, kann sie den W-Lan-Verkehr und Skype-Gespräche abhören, Tastatureingaben erkennen, Screenshots machen und sämtliche Dateioperationen überwachen. Darüberhinaus wird eine große Anzahl Dateien von den betroffenen Systemen gesammelt, wie PGP-Schlüssel und VPN-Konfigurationen.

Kaspersky hat das Malware-Toolkit “The Mask” getauft. Das geschah in Anlehnung an die Bezeichnung des Haupt-Backdoor-Programmteils, der intern als “Careto” referenziert wird, was im Spanischen “Maske” bedeutet. Aufgrund dessen, weiterer Codefragmente und der Tatsache, dass die Phishing-Seiten spanischsprachige Inhalte enthielten, geht Kaspersky davon aus, dass die Software von spanischsprachigen Entwicklern stammt. Auch der in den Konfigurationsdateien gespeicherte RC4-Schlüssel “Caguen1aMar” entspricht der spanischen Version des Fluchs “Scheiße!”

Darüberhinaus ist das Funktionsprinzip sehr fortgeschritten, was erklärt, warum die Angriffe über einen so langen Zeitraum verborgen blieben. Die Kombination aus Root- und Boot-Kit wurde für verschiedene Systeme angepasst und Zugriffsregeln so gesetzt, dass ein Blick auf das Programm verwehrt blieb. Ebenso wurden Logdateien, die Spuren seiner Existenz verraten könnten, automatisch gelöscht. Ganz fehlerfrei wurde aber auch hier nicht vorgegangen, denn es wurden noch hardgecodete Debug-Infos gefunden, wie dieser absolute Pfad auf dem Entwickler-Computer:

c:\Dev\CaretoPruebas3.0\release32\CDllUninstall32.pdb

Aufgrund der ungewöhnlichen Professionalität und der Sprachindizien geht Kaspersky davon aus, dass die Angriffe von einem spanischsprachigen Nationalstaat ausgehen. Soetwas ist bisher noch nie vorgekommen beziehungsweise wurde noch nie entdeckt. Vorerst ist das aber nur eine Vermutung und bedarf weiterer faktischer Untermauerung. In einem Bericht heißt es, dass eine absichtliche Täuschung nicht ausgeschlossen werden könne und davon abgesehen Spanisch in 21 Ländern der Welt gesprochen werde, der Kreis der möglichen Verdächtigen demnach groß sei.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 13 2013

Iran: Phishing-Kampagne vor der morgigen Präsidentschaftswahl

Morgen finden im Iran sowohl Präsidentschaft- als auch Kommunalwahlen statt. Google veröffentlichte heute auf seinem Security Blog einen Artikel über mehrere Phishing-Kampagnen, die seit etwa drei Wochen laufen und die Daten zehntausender iranischer Bürgerinnen und Bürger abschnorcheln sollen. Laut Google weisen Zeitpunkt und Ziel der Kampagnen darauf hin, dass es sich um politisch motivierte Angriffe im Vorfeld der Präsidentschaftswahl handele. Bürgerinnen und Bürger erhalten Mails mit einem Link zur einer Seite mit gefälschtem Google-Login, sodass Nutzernamen und Passwörter gestohlen werden können.

Phishing-Mail

Laut Google wurde das aktuelle Phishing von derselben Gruppe initiiert, die 2011 für einen Angriff auf die niederländische SSL-Zertifizierungsstelle DigiNotar verantwortlich war:

Security researchers who analyzed the DigiNotar attack believe the company was compromised by Iran or hackers working on its behalf. By tying the latest Iranian phishing campaign to Iran, Google’s findings on Wednesday seemed to confirm that Iran was also behind the DigiNotar attack.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

March 27 2013

Android Trojaner bei Aktivisten und Menschenrechtlern gefunden

Gestern berichteten drei Mitarbeiter des russischen Softwareunternehmens Kaspersky Lab darüber, dass am 24. März der Mail-Account eines bekannten tibetischen Aktivisten gehackt und von seinem Account Phishing-Mails an seine Kontakte gesendet wurden. Der Inhalt der Mail bezog sich auf eine Menschenrechts-Konferenz, die verschiedene Gruppen kürzlich in Genf organisiert hatten. Im Anhang der Phishing-Mail befand sich eine APK, also eine Android application package file mit dem Namen “WUC’s Conference.apk”.

Nach der Installation der APK erscheint eine App namens “Conference” auf dem Handy. Wird diese gestartet, erscheint ein Text mit Informationen zu der Konferenz. Während der oder die Angegriffene den Text liest, meldet die Malware einem Command-and-Control-Server, dass das Smartphone infiziert wurde. Danach können Daten von dem infizierten System gesammelt werden, darunter die Kontakte (von Handy und SIM Karte), Anruflisten, SMS, Geopositionen und Daten wie Handynummer, OS Version, SDK Version. Die drei Autoren beschrieben die Funktionsweise in ihrem Artikel noch genauer.

Bisher wurden nur wenige Android Trojaner ‘in freier Wildbahn’ gefunden, das Citizenlab berichtete jedoch vor zwei Wochen über ein Android FinSpy Modell mit einem Command-and-Control-Server in Vietnam.

The FinFisher suite includes mobile phone versions of FinSpy for all major platforms including iOS, Android, Windows Mobile, Symbian and Blackberry. Its features are broadly similar to the PC version of FinSpy identified in Bahrain, but it also contains mobile-specific features such as GPS tracking and functionality for silent ‘spy’ calls to snoop on conversations near the phone.

Im August 2012 hatte das Citizenlab eine gründliche Untersuchung mobiler FinFisher Versionen veröffentlicht.

flattr this!

September 13 2011

“Bitte geben Sie hier Ihre 100 TANs ein…”

Wir alle kennen sie: Alarmierende Emails von unserer vermeintlichen Bank, die uns über katastrophale Vorfälle informieren, die unmittelbares Handeln verlangen, sonst könnte unser Geld verloren gehen.

Die Links darin führen dann zu Seiten, die denen der jeweiligen Bank sehr ähnlich sehen, aber auf anderen Servern liegen. Dort sollen wir dann unser Banking-Passwort und TANs eingeben.

Wer bis zu diesem Punkt mitmacht, ohne sich zu wundern, woher die Bank denn wohl die Emailadresse hat, oder wie unrealistisch der geschilderte Sachverhalt ist, oder warum die URL auf einmal so komisch ist, muss mit einer baldigen Überweisung eines größeren Geldbetrags von seinem Konto in Richtung Nimmerwiedersehen rechnen – denn natürlich stammen weder Email oder Aufforderung, noch Seite von der Bank, sondern von Kriminellen.

Das Landgericht Landshut hat am 14.7. über einen Fall geurteilt, bei dem ein Phishing-Opfer nach Aufforderung 100 (in Worten: Einhundert) TAN-Nummern in eine Phishing-Seite getippt hat, ohne diese Aufforderung im Laufe des Eintippens einmal in Frage zu stellen – und daraufhin 6.000€ ärmer war. Die Bank weigerte sich, dafür zu haften – und das Phishing-Opfer klagte.

Das Gericht entschied, dass die “rudimentären Computerkenntnisse” des Mannes, sowie seine nichtdeutsche Muttersprache zu berücksichten waren, und er daher nicht fahrlässig gehandelt habe (schließlich tat er, wie ihm geheißen). Die Bank muss die 6.000€ + Zinsen erstatten und die Kosten des Verfahrens tragen.

Hier das Urteil, gefunden bei der Arbeitsgruppe Identitätsschutz im Internet.

Reposted bykrekklossos02mydafsoup-01cliffordbigbear3001lydschicoloredgrayscalemondkroeteauthmillenonpascalmhMadMaidlitdesiinteressiert-mich-netmynniaeldritchtie-fighterhgnmburger
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl