Archiv für die Kategorie » Apple «

Fake-AV für Mac

Montag, 9. Mai 2011, 16:42 Uhr | Autor:

Manchmal bekomme ich auch E-Mails mit Fragen zum Thema Malware. Da fragt mich jemand ob die Malware (ein umfangreiches JavaScript), die er via Google-Bildersuche untergeschoben bekam, etwas mit SQL-Injection zutun haben könnte. Ohne ein Beispiel parat zu haben, vermutete ich:

Solche JavaScripte könnten schon zu Massen-SQL-Injection wie LizaMoon passen. Da du es aber in der Bildersuche gefunden hast, nehme ich an, dass es eher dazu gedacht ist, einen User direkt, also ohne Umwege über eine SQL-Injection, anzugreifen. Wonach hast du denn gesucht?

Gestern antwortete er mir mit dem Keyword nach dem er suchte. Drei Suchergebnisseiten später fand ich die Malware auf die er gestoßen war und nun weiß ich: In diesem Fall hat es nichts mit SQL-Injection zutun.


Als Windows-User bekomme ich ein sehr umfangreiches JavaScript untergeschoben, wobei eine 404-Fehlermeldung angezeigt wird — das Opfer also erst einmal gar nicht vermutet dass es gerade angriffen wird. Das JavaScript, welches im Hintergrund ausgeführt wird, sucht offensichtlich nach verschiedenen Sicherheitslücken auf dem Computer des Opfers. Es wird in Flash, im Acrobat Reader und auch in Java nach Lücken gesucht. Was bei einem Fund genau passiert, kann ich nicht sagen, da ich kein Spezialist für Malware bin. Mir ist es i.d.R. auch nicht wichtig zu erforschen welche Viren, Würmer und Trojaner sich nun genau einnisten. Schadsoftware ist Schadsoftware, egal ob sie nun HurZelBurzel0815 oder DummZeUch007 heißt. Für die Details, auch der Gegenmaßnahmen, sind die Malware-Spezialisten zuständig. Ich interessiere mich eher für die Verbreitungswege.


Die Malware unterscheidet zwischen Windows und OS-X. Ein Test unter Ubuntu brachte die gleiche Weiterleitung wie unter Windows. Da dies für mich unter Windows etwas unergiebig war, schaute ich es mir als MacLoser an. ;O)

fake av mac


(Ein kleines Video dazu: http://www.youtube.com/watch?v=FuNHSF6xv1U)

Dieser Fake-Antivirus Scanner ist extra für die Fanboys gedacht, die meinen, mit OS-X das sicherste Betriebssystem aller Zeiten zu benutzen. :O)

In dem Video sieht man das ein Download automatisch gestartet werden soll. Hierbei wird eine anti-malware.zip geladen, in der die Installationsdatei MacProtector.mpkg steckt. Der Server hinter der IP-Adresse aus dem Beispiel (69.50.202.201) wurde mittlerweile deaktiviert, aber mit 69.50.201.186 nutzt der Angreifer einen anderen Server, beim gleichen Provider. Zur Zeit startet auf der neuen Maschine noch kein Download.


Aber nun zum Verbreitungsweg.

Ein Blog, in dem es nur drei Einträge gibt, hat offensichtlich eine Sicherheitslücke über die der Angreifer ein eigenes PHP-Script einbringen konnte. Das Blog gehört zu den nutzlosen Seiten im Netz, die nur zum “Linkbuilding” bzw. Suchmaschinen-Zuspammen genutzt wird. Der Betreiber hat es wohl vergessen oder die SEO-Kampagne wurde einfach abgeblasen, denn der letzte Eintrag ist knapp 6 Monate alt.

Angeblich bietet dieses Blog aber mehr als 10.000 Bilder an und diese wurden alle von der Bildersuche von Google aufgenommen. Wird einem ein entsprechendes Bild angezeigt und klickt man darauf, so folgen die nächsten Schritte:

  1. PHP-Script des Blogs wird aufgerufen.
    http://opfer.tld/15.php?q=zeuch
    [REFERRER] http://www.google.
  2. Wichtig ist hier der Referrer, also die aufrufende Seite. Ist kein oder der falsche Referrer enthalten, wird einfach nur die Startseite des Blogs angezeigt. Gültige Referrer sind: google, bing oder yahoo, aber nicht yandex.

  3. Das Blog lädt eine Seite mit drei Zeilen JavaScript, welches nur zur Weiterleitung dient.
  4. Eine ce.ms-Subdomain leitet nun weiter, auf den Server der die FakeAV-Seite anzeigt und die Malware zum Download anbietet.

Zum Teil werden die Server die den Fake-Antivirus Scanner anzeigen bereits deaktiviert oder vom Browser als Malware-Schleuder erkannt. Schaut man sich den obigen Punkt 2 etwas genauer an, so bemerkt man: Der Angreifer nutzt verschiedene ce.ms-Subdomains
fake av mac: npbtfqxt.ce.ms
http://www.utrace.de/?query=npbtfqxt.ce.ms
fake av mac: vzaynvro.ce.ms
http://www.utrace.de/?query=vzaynvro.ce.ms
fake av mac: jxqfkgny.ce.ms
http://www.utrace.de/?query=jxqfkgny.ce.ms
die aber alle auf den gleichen Server zeigen.

Da Google bzw. die Browser und die Antivirus-Spezialisten automatisiert Malware erkennen und blockieren, erkennen sie nur den letzten Punkt, nämlich den, der beim User den angebliche Virenalarm auslöst. Würde man sich etwas mehr Mühe bei der Bekämpfung von Malware geben, so müsste der Server in Rumänien gesperrt werden.


Noch kurz zu den mehr als 10.000 Bildern in dem 3-Seiten-Blog.

Der Angreifer hat es geschafft sehr viele Einträge in der Bildersuche von Google zu hinterlassen, für Bilder die zwar irgendwo gehostet sind, aber nicht in dem Blog. Wie dies genau funktioniert kann ich nicht sagen, BlackHat-SEOs wissen da sicher mehr.


Link in der Bildersuche von Google:
http://www.google.de/imgres
?imgurl=http://xyz.imageshack.us/zeuch.png
&imgrefurl=http://opfer.tld/15.php?q=zeuch&page=7
(...)

Es wurde ein vorhandenes Bild mit der Seite des Opfers verbunden.


Der Link zum rumänischen Server:
http://npbtfqxt.ce.ms/in.cgi
?seoref=http%3A%2F%2Fwww.google.de%2Fimgres(...)
&parameter=$keyword
&se=$se
(...)

Der Angreifer verwendet wahrscheinlich ein gut funktionierendes Script für SEO-Spam, ohne allerdings deren SEO-Features zu nutzen, weshalb beispielsweise das $keyword noch in dem Link zu finden ist.


Ohne die Lücke in der Google-Suche, die Links indexiert die es so nicht gibt bzw. offensichtlich nicht koscher sind, hätte es der Angreifer ungleich schwerer, seine Malware unter das Volk zu bringen.

Google sollte mehr gegen diese Manipulationen unternehmen, nicht nur wegen der Malware, sondern auch damit die Qualität der Suchergebnisse endlich wieder steigt und man nicht mit “Linkbuilding”-Mist zugemüllt wird.


Update: 12.05.2011 – 15:56 Uhr

Passend zum Thema: “Google Doodle führt zu Scareware-Seiten” (heise.de)
Was Heise dort schreibt ist nicht so ganz korrekt. Das eigentliche Problem hat nichts mit dem Doodle zutun, sondern mit der fehlerhaften Indexierung in der Bildersuche.

Thema: Apple, Google, SEO, Sicherheit | Ein Kommentar

Apples Safari 5 – Eine weitere bittere Pille für Verlage?

Mittwoch, 9. Juni 2010, 9:21 Uhr | Autor:

Nicht nur einige Sicherheitslücken “Apples Safari-Update schließt 48 Sicherheitslücken” (heise.de) werden im neuen Safari geschlossen, auch ein Feature gegen zu viel Reklame ist neu: “Safari 5 ist da” (heise.de)

Erkennt der Safari einen Artikel, so zeigt er nach einem Klick auf den “Reader”-Button in der Adresszeile
safari 5 reader button
oder der Tasten-Kombination
safari 5 reader shortcut
den Text und die Bilder ohne die Navigationselemente oder die Werbung der Seite an.

Aus der normalen Ansicht
safari 5 mgumw 1
wird mit der “Reader”-Funktion folgendes:
safari 5 mgumw 2

Die Readeransicht kann verkleinert/vergrößert, als E-Mail versandt (nur mit Mail, nicht mit Thunderbird), gedruckt oder geschlossen werden.
safari 5 button
Ein über die Druckfunktion erstelltes PDF, enthält auch nur die wesentlichen Inhalte:
safari 5 mgumw 3


Werden die Verlage nun auch wieder frohlocken? Welcher Besucher wird sich nun noch die Reklame der Zeitungen und Magazine anschauen?

Was hat Apple für die nächsten Versionen für Überraschungen vorbereitet?

  • Bilder und Videos gleich nach amerikanisch-puritanischen Anstandsregeln filtern?
  • Bei Texten mit Badwords wird auf eine Warnseite von Apple weitergeleitet?
  • Eigene Werbung in alle Websites einfügen?

Was würden wohl für Kampagnen im Web angezettelt wenn Microsoft ähnliches tun würde? Apple ist mittlerweile schlimmer als Microsoft je war. Die Zeiten von Apple == gut und Microsoft == böse sind lange vorbei.

Thema: Apple, Reklame | Ein Kommentar