Kriminelle Custom Search aktiv
Wie silicon.de berichtete, haben die Antimalware-Forscher Cristina Vatamanu, Răzvan Benchea und Alexandru Maximciuc den seit Mitte September 2014 kursierenden Trojaner “Redirector.Paco” und das von ihm aufgebaute Botnetz gründlich untersucht. Festgestellt wurden 900.000 infizierte Systemen, die vor allem in Indien, Malaysia, Griechenland, den USA, Italien, Pakistan, Brasilien und Algerien stehen. Trotzdem sind auch andere Länder von Schäden betroffen.
Die Problematik besteht darin, dass der Trojaner auf dem Rechner Suchanfragen in gängigen Suchmaschinen durch eine von den kriminellen definierte Google Custom Search ersetzt. Das geschieht zum Nachteil von AdSense-Kunden. Wie hoch dieser Schaden von AdSense-Kunden ist, den das Botnetz anrichtet, hat Bitdefender nicht beziffert. Der Schadensumfang soll aber beträchtlich sein.
Wie arbeitet die Malware?
Laut den Experten von Bitdefender genügt es, dass die Malware einige “simple Registry Tweaks” durchführt. Dazu gehört, dass sie die Einstellungen für “AutoConfigURL” und “AutoConfigProxy” in den “Internet-Einstellungen” ändert. Bei jeder Suchanfrage, die der Nutzer dann durchführt wird dann ein PAC-File (Proxy Auto-Config) aufgerufen. Diese Datei weist den Browser an, die Suchanfrage an eine bestimmte Adresse umzuleiten.
Das bietet den Kriminellen dann die Möglichkeit, über Googles AdSense-Programm Geld zu verdienen. Die Geschädigten sind die Unternehmen, die über dieses Programm Anzeigen platzieren. Ein e lukrative Angelegenheit, die die Kriminellen anspornt die Anfragen so lange wie möglich auf ihre Seiten umzuleiten.
Wie können Nutzer den Betrug erkennen?
Laut Bitdefender gibt es Verdachtshinweise für Nutzer. Dazu gehören beispielsweise die Anzeigen in der Statusleiste des Browser, die lauten:
- “Waiting for proxy tunnel” oder “Downloading proxy script”
- Das Laden der Google-Seite dauert ungewöhnlich lange.
- Auch fehlen die über den Seitenzahlen der Suchtrefferliste angezeigten mehreren gelben „o“.
- Der Trojaner-Befall ist auch an dem falschen Zertifikat erkennbar.
Das Icon für das HTTPS-Protokoll in der Adressleiste des Browsers wird wie gewohnt angezeigt, um einen möglichen Verdacht der Nutzer an dieser Stelle zu zerstreuen. Lediglich wenn sie das Zertifikat prüfen, – was in der Praxis aber nur sehr wenige tun – stellen sie fest, das als Herausgeber dort “DO_NOT_TRUST_FiddlerRoot” angegeben ist.
Was ist ein Botnet
Ein Botnet oder Botnetz ist eine Gruppe von automatisierten Computerprogrammen, sogenannten Bots. Die Bots (von englisch: robot „Roboter“) laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. In Deutschland gab es 2010 über 470.000 solcher Bots, von denen im Durchschnitt etwa 2.000 pro Tag aktiv waren.
Die Initiative botfrei.de des Verbandes der Internetwirtschaft ECO stellte 2014 bei 220.000 stichprobenartig untersuchten Computern 92.000 verseuchte Systeme mit rund 725.000 infizierten Dateien fest, woraus sich eine Infektion mit ca 40 Prozent aller Computer in Deutschland errechnet. Laut Bericht zur Lage der IT-Sicherheit in Deutschland 2015 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurden im ersten Halbjahr 2015 in Deutschland täglich bis zu 60.000 Systeme neu infiziert.
Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Die meisten Bots können von einem Botnetz-Operator (auch Bot-Master oder Bot-Herder genannt) über einen Kommunikationskanal überwacht werden und Befehle empfangen. Dieser wird in der Fachsprache als Command-and-Control-Server bezeichnet; Kurzform: C&C-Server.
