Datenschädling versteckt Beute in Bildern

US-Sicherheitsforscher haben eine neuartige Malware entdeckt, die soziale Netzwerke verwendet, um "nach Hause zu funken".

Moderne Malware ist für PC-Benutzer eine echte Plage: Hat sie sich einmal auf dem Rechner eingenistet, kann sie beispielsweise E-Mail-Passwörter, Kreditkartendaten oder Konto-PINs mitlesen und speichern. Dabei gibt es mittlerweile die ausgefeiltesten Varianten – Datenschädlinge beispielsweise, die es nur auf bestimmte Banken abgesehen haben oder solche, die sich nur an Fans von Online-Games gütlich tun und deren Spielgeld-Reservoir absaugen.

All dieser bösen Software ist allerdings gemeinsam, dass sie irgendwie und irgendwann Kontakt zu ihren Erstellern aufnehmen muss. "Herrchen" (oder "Frauchen") Internet-Ganove muss die vom Schädling erbeuteten Daten ja schließlich erhalten, um dann beispielsweise auf fremde Kosten einkaufen gehen zu können oder die erbeuteten Kontoinfos weiterzuverkaufen. Außerdem existiert oft ein Rückkanal, über den der Malware-Erschaffer befallene PCs fernsteuern kann, um sie etwa zum Spamversand oder für Internet-Angriffe zu missbrauchen.

Doch genau hier befindet sich eine Schwäche von Datenschädlingen: Selbst auf bereits befallenen Maschinen können Anti-Viren-Programme und Firefalls die Außenkommunikation per Internet potenziell blockieren. So bekommen Online-Gauner dann keine sensiblen Daten aus dem PC heraus, der Schatz lässt sich nicht heben.

Forscher an der University of Illinois in Urbana-Champaign haben nun allerdings ein Verfahren gezeigt, das auch diese Gegenmaßnahme aushebeln würde. Der sogenannte Stegobot ist bislang in freier Wildbahn noch nicht gesichtet worden, wirkt aber schon als Konzept, das das Team um den Informatiker Amir Houmansadr entwickelt hat, äußerst bedrohlich.

Die Grundidee: Statt erspähte Daten über reguläre (und potenziell blockierbare) direkte Internet-Kommunikationswege zu versenden, versteckt die Prototyp-Malware Passwörter oder Kontozugänge in Bildern, die der Benutzer freiwillig beim sozialen Netzwerk Facebook hochlädt. So wird das Opfer selbst zum Helfer der Internet-Gauner, ohne es zu merken. Der Ganove muss sich das Bild dann nur noch im Netz ansehen und die Daten extrahieren.

In eine Standardaufnahme mit 720 mal 720 Bildpunkten Größe passen immerhin 50 Kilobyte – das ist ausreichend für einen ganzen Haufen an Kreditkarten- und Kontodaten, an Passwörtern und Zugängen für Online-Games. Von außen erkennbar sind die integrierten Daten dank steganographischer Versteckmethoden nicht: Das klitzekleine Bildrauschen, das durch die Zusatzdaten erzeugt wird, fällt nicht einmal geschulten Augen auf.

Im Laborversuch infizierte das Forscherteam um Houmansadr zunächst einige Testrechner. Stegobot landet genauso auf dem PC wie echte Malware: Per E-Mail-Anhang, den ahnungslose Nutzer öffnen. Dann geht die Malware ans Werk, sammelt Zugangsdaten und nutzt den E-Mail-Zugang des Opfers, um sich weiter zu verbreiten. Sind genügend Infos beisammen, beginnt die Hochladephase: Dabei wartet Stegobot im Hintergrund darauf, dass der Nutzer "facebookt". Beim Upload des nächsten Bildes werden die Daten automatisch integriert und verlassen den Rechner.

Die Forscher haben außerdem ein Konzept entwickelt, wie Stegobot seinen Empfänger verschleiern könnte: Dabei hüpfen die Daten von Freund zu Freund. Statt die Daten auf öffentlich auf Facebook zugänglichen Fotos zu platzieren, werden dann nur solche für geschlossene Benutzerkreise – vulgo: die Facebook-Freunde – verwendet. Gelingt es Stegobot, eine weitere Person im Facebook-Freundeskreis zu infizieren, geht das Spiel weiter: Die Daten werden von einem Privatbild ins nächste übertragen. So wandern die sensiblen Infos von Person zu Person, bis sie im Freundeskreis des Online-Ganoven auftauchen, der sie dann wieder dechiffrieren kann.

"Besonders gefährlich ist, dass Stegobot eigentlich nicht erkannt werden kann", meint Shishir Nagaraja vom Indraprastha Institute of Information Technology in New Dheli, der das Proekt mit Houmansadr umsetzte. Zudem sei es möglich, dass die Ersteller des Datenschädlings auch den umgekehrten Weg nehmen könnten, um die Malware zu steuern, ohne dass das jemandem auffallen würde.

Noch scheinen Online-Gauner nicht auf die Idee gekommen zu sein, Techniken wie Stegobot umzusetzen. Allerdings ist die Steganographie in der Szene durchaus schon ein Thema. Momentan ist aber unklar, ob sich der Aufwand, den Stegobot beim Verschleiern seiner Tätigkeit treibt, für wirtschaftlich denkende Internet-Mafiosi lohnen würde. Schließlich funktionieren Firewalls und Anti-Viren-Software oft so schlecht, dass Malware auch direkt "nach Hause funken" kann. Möglicherweise ganz anders sieht es aber bei gezielten Spionageangriffen aus – etwa, wenn ein Geheimdienst Daten aus dem Ausland herausschmuggeln will und die Herkunft der Attacke unbedingt verschleiert werden muss. (bsc)