Nachricht von der Koobface-Gang

Die Betreiber des Koobface-Botnetzes haben auf infizierten PCs eine Antwortenliste verteilt, in der sie auf Spekulationen eines Sicherheitsspezialisten über ihre Verbindungen, Aktivitäten und Motive reagieren.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Mit einer Nachricht im HTML-Quellcode zur Verteilung präparierter Videocodecs haben die Betreiber des Koobface-Botnetzes auf einen Artikel des Sicherheitsspezialisten Dancho Danchev reagiert. Danchev hatte im Februar in dem Artikel "10 things you didn't know about the Koobface gang" mehrere Vermutungen zur Arbeitsweise der Botnetz-Betreiber, deren Verbindungen zu anderen Kriminellen und deren Motive aufgestellt.

Der Bot Koobface (Anagramm für Facebook) kursiert sein Mitte des Jahres 2008 und verbreitet sich unter anderem als vermeintlicher Flash-Player über infizierte Heim-PCs. Diese agieren als Server für Malware und spielen bei der Verteilung sogenannter Scareware eine Rolle. Die Links zu den Rechnern verteilt Koobface beispielsweise über Facebook-Nachrichten.

Danchev hatte in seinem Artikel unter anderen auf eine mögliche Zusammenarbeit zwischen dem Koobface-Netz und dem Click-Fraud-Botnetz Bahama hingewiesen. Die Antwort des mutmaßlichen Anführers der Koobface-Gang "Ali Baba" lautet jedoch "No connection". Danchev hatte sich zudem darüber mokiert, dass die Gang zur Erstellung eines Screenshots zum Einbetten in eine gefälschte Youtube-Seite eine nicht registrierte Version von Hypersnap benutzte, obwohl aufgrund der stetigen Geldflüsse doch genug Geld vorhanden sei. Antwort von Ali Baba: "Aus welchem Grund sollte man Software für nur einen Screenshot kaufen?"

Der Koobface-Anfüher widerspricht zudem Danchevs Vermutung, dass Koobface mit den infizierten Werbebanner auf dem Online-Auftritt der New York Times im September 2009 in Verbindung stand. Dabei war es Betrügern gelungen, eigene Banner-Ads über das Werbenetzwerk der Zeitung einzuschleusen, die beim Aufruf der Seiten eingeblendet wurden. Besucher des Online-Auftritts bekamen dann sporadisch Einblendungen von Scareware zu Gesicht.

Die Gruppe gibt allerdings zu, im Rahmen einer Scareware-Kampagne im vergangenen Jahr an der Manipulation mehrerer hunderttausender Sites beteiligt gewesen zu sein. Die Antwort auf die Spekulation Danchevs, dass die Koobface-Bande Erlöse aus dem Scareware-Netzwerk "Crusade Affiliates" bezieht, fällt indes überraschend aus: "Möglicherweise. Nicht hunderprozent sicher."

Siehe dazu auch:

(dab)