Nachricht von der Koobface-Gang
Die Betreiber des Koobface-Botnetzes haben auf infizierten PCs eine Antwortenliste verteilt, in der sie auf Spekulationen eines Sicherheitsspezialisten über ihre Verbindungen, Aktivitäten und Motive reagieren.
Mit einer Nachricht im HTML-Quellcode zur Verteilung präparierter Videocodecs haben die Betreiber des Koobface-Botnetzes auf einen Artikel des Sicherheitsspezialisten Dancho Danchev reagiert [1]. Danchev hatte im Februar in dem Artikel "10 things you didn't know about the Koobface gang [2]" mehrere Vermutungen zur Arbeitsweise der Botnetz-Betreiber, deren Verbindungen zu anderen Kriminellen und deren Motive aufgestellt.
Der Bot Koobface (Anagramm für Facebook) kursiert sein Mitte des Jahres 2008 und verbreitet sich unter anderem als vermeintlicher Flash-Player über infizierte Heim-PCs. Diese agieren als Server für Malware und spielen bei der Verteilung sogenannter Scareware eine Rolle. Die Links zu den Rechnern verteilt Koobface beispielsweise über Facebook-Nachrichten.
Danchev hatte in seinem Artikel unter anderen auf eine mögliche Zusammenarbeit zwischen dem Koobface-Netz und dem Click-Fraud-Botnetz Bahama hingewiesen. Die Antwort des mutmaßlichen Anführers der Koobface-Gang "Ali Baba" lautet jedoch "No connection". Danchev hatte sich zudem darüber mokiert, dass die Gang zur Erstellung eines Screenshots zum Einbetten in eine gefälschte Youtube-Seite eine nicht registrierte Version von Hypersnap benutzte, obwohl aufgrund der stetigen Geldflüsse doch genug Geld vorhanden sei. Antwort von Ali Baba: "Aus welchem Grund sollte man Software für nur einen Screenshot kaufen?"
Der Koobface-Anfüher widerspricht zudem Danchevs Vermutung, dass Koobface mit den infizierten Werbebanner auf dem Online-Auftritt der New York Times im September 2009 in Verbindung stand. Dabei war es Betrügern gelungen, eigene Banner-Ads über das Werbenetzwerk der Zeitung einzuschleusen, die beim Aufruf der Seiten eingeblendet wurden. Besucher des Online-Auftritts bekamen dann sporadisch Einblendungen von Scareware zu Gesicht.
Die Gruppe gibt allerdings zu, im Rahmen einer Scareware-Kampagne im vergangenen Jahr an der Manipulation mehrerer hunderttausender Sites beteiligt gewesen zu sein. Die Antwort auf die Spekulation Danchevs, dass die Koobface-Bande Erlöse aus dem Scareware-Netzwerk "Crusade Affiliates" bezieht, fällt indes überraschend aus: "Möglicherweise. Nicht hunderprozent sicher."
Siehe dazu auch:
- Tausende Webseiten für großangelegte Scareware-Attacke manipuliert [3]
- Schädliche Werbebanner bei der New York Times [4]
- Neue Würmer attackieren MySpace und Facebook [5]
(dab [6])
URL dieses Artikels:
https://www.heise.de/-1002306
Links in diesem Artikel:
[1] http://ddanchev.blogspot.com/2010/05/koobface-gang-responds-to-10-things-you.html
[2] http://www.zdnet.com/blog/security/10-things-you-didnt-know-about-the-koobface-gang/5452
[3] https://www.heise.de/news/Tausende-Webseiten-fuer-grossangelegte-Scareware-Attacke-manipuliert-862604.html
[4] https://www.heise.de/news/Schaedliche-Werbebanner-bei-der-New-York-Times-788720.html
[5] https://www.heise.de/news/Neue-Wuermer-attackieren-MySpace-und-Facebook-192327.html
[6] mailto:dab@ct.de
Copyright © 2010 Heise Medien