Koobface

Bei Koobface handelt es sich um einen Computerwurm, der Windows-, macOS- und Linux^[1]-Systeme attackiert. Die Ziele des Angriffs sind Zugangsdaten von Social-Media-Webseiten wie Facebook, Skype, Yahoo Messenger und Twitter, wie auch E-Mail-Webseiten wie Gmail, Yahoo Mail und AOL Mail.

Es konnten mehrere Varianten des Koobface-Wurms identifiziert werden:

• Worm:Win32/Koobface.gen!F^[2]
• Net-Worm.Win32.Koobface.a, attackiert Myspace
• Net-Worm.Win32.Koobface.b, attackiert Facebook^[3]
• WORM_KOOBFACE.DC, attackiert Twitter^[4]
• W32/Koobfa-Gen, attackiert Facebook, Myspace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog, Badoo und fubar^[5][6]
• W32.Koobface.D^[7]
• OSX/Koobface.A, eine macOS-Version die via Social Networks wie Facebook, MySpace und Twitter verbreitet wird.^[8]

Das Ziel von Koobface ist es, nach einer erfolgreichen Infektion die Login-Daten von FTP-Seiten, Facebook, Skype und weiteren Social-Media-Webseiten zu sammeln, sowie vertrauliche finanzielle Daten zu erlangen. Bereits kompromittierte Computer vereinigen sich dann zu einem Peer-to-Peer-Botnet. Durch die Peer-To-Peer-Struktur werden Befehle an andere Rechner weitergegeben oder empfangen. Das Botnet wird verwendet, um zusätzliche Malware zu installieren, sowie auch um Suchanfragen auf Werbeanzeigen umzuleiten. Weiters wird das Botnet genutzt, um gefälschte Nachrichten an befreundete Nutzer von Social-Media-Seiten zu senden, um sich noch weiter zu verbreiten. Erstmals entdeckt wurde Koobface im Dezember 2008, eine wirksamere Version erschien im März 2009. Eine Studie von Information Warfare Monitor, ein Zusammenschluss von SecDev Group und Citizen Lab in der Munk School of Global Affairs an der Universität Toronto fand heraus, dass die Botnetz-Betreiber einen Umsatz von 2 Millionen Dollar von Juni 2009 bis Juni 2010 erzielten.

Ursprünglich verteilte sich Koobface, indem der Wurm Facebook-Nachrichten an „Freunde“ des Benutzers schickte, dessen Computer bereits infiziert war. Inhalt der Nachricht war eine Weiterleitung an eine Drittseite (oder einen anderen bereits von Koobface befallenen Computer), auf der der Benutzer aufgefordert wurde, ein Update des Adobe Flash Players herunterzuladen. Beim Ausführen der geladenen Datei infiziert sich der Rechner mit dem Koobface-Wurm. Danach ist der Wurm in der Lage, die Suchmaschine des Computers zu nutzen, um diesen auf mit anderer Malware infizierte Webseiten zu leiten. Es können auch Links zu Webseiten Dritter auf der Facebook-Pinnwand eines Freundes gepostet werden, die Kommentare wie „LOL“ oder „Youtube“ und einen Link enthalten. Wenn der Link geöffnet wird, infiziert der Trojaner den Rechner und der PC wird zum Zombie oder zu einem Host-Computer.

Unter den Komponenten, die von Koobface heruntergeladen werden, befindet sich auch ein DNS-Filterprogramm, das den Zugang zu sehr bekannten Webseiten von Sicherheitsdienstleistern sperrt. Des Weiteren installiert es ein Proxy-Programm, das den Angreifer befähigt, den infizierten PC zu missbrauchen.

Die New York Times berichtete im Januar 2012^[9], dass Facebook plant, Informationen über die Koobface-Gang herauszugeben, sowie die Namen derer die sich in den Augen von Facebook dafür verantwortlich zeigen. Nachforschungen des deutschen IT-Managers Jan Droemer^[10] und der University of Alabama at Birmingham’s Center for Information Assurance and Joint Forensics Research^[11] waren eine große Hilfe, die Personen hinter dem Koobface-Wurm aufzudecken. In der Facebook-Veröffentlichung vom 17. Januar werden folgende fünf Verdächtige genannt: Stanislav Avdeyko (leDed), Alexander Koltyshev (Floppy), Anton Korotchenko (KrotReal), Roman P. Koturbach (PoMuc), Svyatoslav E. Polichuck (PsViat und PsycoMan). Die Gruppe sitzt im russischen Sankt Petersburg und wird manchmal Ali Baba & 4 genannt, mit Stanislav Avdeyko als Anführer.^[12] Die Ermittlung konnte Avdeyko ebenfalls mit der CoolWebSearch-Spyware in Verbindung bringen.^[10]

• The Koobface malware gang - exposed!, research by Jan Droemer and Dirk Kollberg.
• The Real Face of KOOBFACE, analysis by Trend Micro.
• Researchers Take Down Koobface Servers, Slashdot article.

1. ↑ https://news.softpedia.com/news/New-Koobface-Variant-Infects-Linux-too-163450.shtml
2. ↑ Worm:Win32/Koobface.gen!F. In: microsoft.com. Microsoft, abgerufen am 3. Februar 2015. 
3. ↑ Koobface malware distribution technique - automatic user account creation on FaceBook, Twitter, BlogSpot and others (Memento des Originals vom 28. März 2010 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.finjan.com
4. ↑ WORM_KOOBFACE. In: trendmicro.com. Abgerufen am 3. Februar 2015. 
5. ↑ Sophos stops new version of Koobface social networking worm. In: Naked Security. Abgerufen am 3. Februar 2015. 
6. ↑ The Allure of Social Networking, describes Win32/Koobface affecting multiple social networks as described on CA's Security Advisor Research blog (Memento des Originals vom 22. Juli 2011 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/community.ca.com
7. ↑ W32.Koobface.D. In: symantec.com. Abgerufen am 3. Februar 2015. 
8. ↑ Intego Security Memo: Trojan Horse OSX/Koobface.A Affects Mac OS X Mac – Koobface Variant Spreads via Facebook, Twitter and More - The Mac Security Blog. In: The Mac Security Blog. Abgerufen am 3. Februar 2015. 
9. ↑ Web Gang Operating in the Open
10. ↑ ^{a b} The Koobface malware gang – exposed! - Naked Security. In: Naked Security. Abgerufen am 3. Februar 2015. 
11. ↑ Facebook credits UAB with stopping international cyber criminals, donates $250,000 to school. In: AL.com. Abgerufen am 3. Februar 2015. 
12. ↑ Emil Protalinski: Facebook exposes hackers behind Koobface worm. ZDNet, 17. Januar 2012, abgerufen am 20. Januar 2012.