Eleven Internet Threats Trend Report 3. Quartal

 Eleven Internet Threats Trend Report 3. Quartal 2013
Übersicht
Auch im dritten Quartal 2013 gab es wieder zahlreiche Echtzeit-Malware-Kampagnen, die aktuelle
Nachrichten als Thema aufgriffen, um so das Interesse der Empfänger zu wecken. Die Dauer
zwischen einem Ereignis und ersten dazu passenden Kampagnen nahm in den vergangenen
Monaten ab – durchschnittlich benötigen Malware-Autoren inzwischen 22 Stunden, um aktuelle
Themen aufzubereiten.
Im dritten Quartal 2013 ist das weltweite Spam-Aufkommen weiter zurückgegangen (69 Milliarden
Nachrichten im Vergleich zu 83 Milliarden in Q2) – dennoch lag der Anteil von Spam-Nachrichten
an allen weltweit versandten E-Mails noch immer bei 70%. Das Thema „Diät“ blieb weiterhin
Spam-Thema Nummer eins, und Weißrussland das Land, aus dem die meisten Spam-E-Mails
stammten.
Die Anzahl von Phishing-Seiten nahm im 3. Quartal weiter zu – um fast 35%. Allein zum Thema
PayPal gab es durchschnittlich 750 neue Phishing-Kampagnen pro Tag.
Malware-Trends
Echtzeit-Malware-Kampagnen
Im dritten Quartal von 2013 setzte sich ein Trend fort, der bereits in der ersten Jahreshälfte hatte
beobachtet werden können: die Ausnutzung aktueller Nachrichten für die Verbreitung von Malware
und die schnelle, in Teilen automatisierte Adaption der neuesten Schlagzeilen – Echtzeit-MalwareKampagnen.
Eine Ende Juli gestartete Kampagne konzentrierte sich auf die Geburt des britischen
Nachwuchses, Prinz George. Innerhalb weniger Stunden nach Bekanntwerden des Ereignisses
wurden mehrere Malware-Kampagnen gestartet, um das aktuelle Interesse an der Neuigkeit
auszunutzen. Zwischen Dienstag, dem 23. Juli, und Mittwoch, dem 24. Juli, beobachtete das
Eleven Research-Team insgesamt acht Wellen von Drive-by-Malware mit der Schlagzeile „The
Royal Baby: Live updates“. Beinahe ein Drittel der E-Mails stammten von Zombie-Computern aus
den Vereinigten Staaten, gefolgt von Peru und Chile.
Gefälschte Meldung zum britischen Royal Baby
Eine weitere Kampagne befasste sich mit Whistleblower Edward Snowden. Kurz nach den
Kampagnen zum königlichen Nachwuchs wurden sehr ähnliche E-Mails mit Betreffzeilen wie
„Snowden able to leave Moscow airport – BreakingNews CNN“ entdeckt. Die E-Mails versprachen
exklusive Neuigkeiten über den Asylstatus des NSA-Whistleblowers. Sie enthielten einen kurzen
Aufmacher – der scheinbar von CNN stammte – sowie einen Link zu ausführlicheren Informationen
und interaktivem Material.
Echtzeit-Kampagne zu Edward Snowden.
Am Freitag, dem 6. September, wurden sogar Nachrichten gefälscht, um das öffentliche Interesse
an einem möglichen Luftangriff der USA auf Syrien auszunutzen. Die Betreffzeile dieser E-Mails
lautete „The United States Began Bombing“ und waren so gestaltet, dass sie wie authentische
Meldungen des US-Senders CNN wirkten.
Gefälschte Nachrichtenmeldung im Namen von CCN zum Konflikt in Syrien
Was sich über diesen Trend der Echtzeit-Kampagnen sagen lässt, ist vor allem, dass sie immer
schneller werden. Bereits vor dem Aufkommen der gefälschten Meldung zu Syrien hatte die
durchschnittliche Startzeit für einen Virusangriff abgenommen. Im März 2013, zur Wahl des neuen
Papstes, begannen die ersten Malware-Attacken nach 55 Stunden. Im April 2013 dauerte es nach
dem Bombenanschlag auf den Boston-Marathon nur 27 Stunden, bis die ersten Angriffe das
Interesse an dem Ereignis auszunutzen suchten. Weitere Beispiele betreffen die bereits erwähnte
Geburt des Royal Baby und Nachrichten über NSA-Whistleblower Edward Snowden. Kampagnen
wie die zum Syrien-Konflikt zeigen, dass Spammer keine Zeit ungenutzt verstreichen lassen – und
den tatsächlichen Ereignissen zum Teil sogar voraus sind.
Internet-Malware
Die oben beschriebenen Kampagnen versuchen ihre Oper per E-Mail zu erreichen; die Malware
selbst aber ist in Drive-by-Downloads eingebettet, die in der Regel von infizierten Websites
gestartet werden. Die E-Mails zur Geburt des Prinzen von Cambridge etwa waren mit Websites
verknüpft, auf denen wiederum drei versteckte Links zu infizierten Websites führten. Das Script
„<turncoat.js>“ aktivierte im Hintergrund das Blackhole Exploit Kit – ohne dass der Nutzer dies
bemerkte. Das einzige sichtbare Element auf der Seite war eine Anzeige mit der Meldung
„Connecting to server…“. Das Blackhole Exploit Kit – ein Lieblingstool von Cyberkriminellen –
scannt das Zielsystem und lädt anschließend die Malware herunter, die je nach Betriebssystem,
Browser-Typ, Flash-Version, PDF-Reader-Version usw. am besten passt.
„Connecting to server…“
Die Zahl der infizierten Websites, die in der URL-Datenbank von Commtouch, GlobalView,
aufgelistet sind, ist im dritten Quartal leicht zurückgegangen. Die Kategorien der Websites, die mit
der höchsten Wahrscheinlichkeit von Malware infiziert waren, können der folgenden Tabelle
entnommen werden.
Malware-infizierte Websites nach Kategorien
Rang
Kategorie
Rang
Kategorie
1
Tourismus
6
Bildung
2
Verkehr
7
Suchmaschinen
Portale
3
Unternehmen
8
Kunst
4
Sport
9
Restaurants & Essen
5
Freizeit
Erholung
&
10
&
Immobilien
Mobile Malware
Nach einem Rückgang zu Jahresbeginn ist die Zahl der einmaligen Android-Schadprogramme im
Laufe des dritten Quartals langsam wieder angestiegen.
Malware per E-Mail
Die Zahl der durchschnittlich pro Tag versendeten E-Mails mit Malware blieb mit nahezu zwei
Milliarden im Vergleich zum vorherigen Quartal fast unverändert. Dieser Durchschnittswert verbirgt
jedoch den stetigen Anstieg zwischen Juli und September, als teilweise Angriffswellen mit der
doppelten durchschnittlichen Tagesmenge gestartet wurden.
Menge an Malware-E-Mails von Juni bis September 2013
Das Eleven Research-Team konnte im 3. Quartal zahlreiche identische Malware-Kampagnen per
E-Mail beobachten. Wie gewöhnlich wurden die E-Mails und Benachrichtigungen im Namen großer
Unternehmen und Marken versandt, beinhalteten jedoch einen infizierten Anhang und in einigen
Fällen auch einen Link auf eine infizierte Website. Zu den Marken, die für diese Angriffe
missbraucht wurden, gehören u.a.:
•
Apple – eine „Apple Store Gift Card“ im August hatte einen Virus im Anhang sowie einen
Link zu einer infizierten Website im E-Mail-Body. Der Betrag des „Geschenkgutscheins“
war von E-Mail zu E-Mail unterschiedlich.
•
Burger King – mit dem Gutschein: „THE KING CELEBRATES SPRING!“
•
KFC – mit einem „KFC for Lunch“-Gutschein
•
Walmart
•
UPS – Paketbenachrichtigungen; die angehängte Malware wurde identifiziert als
Commtouch: W32/Trojan.HATG-6756
•
DPD – das große deutsche Paketunternehmen, mit E-Mails in deutscher Sprache, die sich
an deutschsprachige Nutzer wandten
•
MoneyGram – der Überweisungsbetrag unterschied sich geringfügig von E-Mail zu E-Mail
Zwei bemerkenswerte Trends konnten festgestellt werden:
1. Malware-Autoren lieben Recycling. In allen Fällen führten die URL-Links und infizierten
Anhänge zu demselben Trojaner-Typen – lediglich die Themen und Marken wurden geändert.
2. Cyberkriminelle sind auf Länder spezialisiert. Die Tatsache, dass vergleichbare MalwareKampagnen zur selben Zeit auf verschiedene Länder und Regionen ausgerichtet waren,
untermauert das Ergebnis des Trendberichts für das 2. Quartal – nämlich einen starken Anstieg an
regionaler Malware-Verteilung. Immer mehr solcher Kampagnen werden auf bestimmte Länder
oder Regionen zugeschnitten, in der Sprache der jeweiligen Zielgruppe verfasst, und sie nutzen
Marken, Dienstleistungen, Produkte und Veranstaltungen, die in der jeweiligen Region beliebt sind,
um den E-Mails einen authentischen Eindruck zu verleihen und Nutzer dazu zu verleiten, die
infizierten Anhänge zu öffnen.
Spam-Trends
Im dritten Quartal von 2013 ist das Spam-Aufkommen weiter zurückgegangen. Die
durchschnittliche Tagesmenge an Spam-Mails belief sich auf 69 Milliarden Nachrichten im
Vergleich zu 83 Milliarden im 2. Quartal – das entspricht einem Rückgang von rund 17%. Obwohl
die Gesamtmenge im dritten Quartal die niedrigste seit über vier Jahren war, ist der monatliche
Durchschnitt seit dem historischen Tief von 63 Milliarden Spam-Mails pro Tag allmählich wieder
angestiegen. Im Lauf des dritten Quartals lag der Anteil von Spam-Nachrichten an allen weltweit
versandten E-Mails bei 70%; Anfang August war dieser Anteil bis auf 62% gesunken.
Spam-Entwicklung Q3, 2013.
Mai bis Oktober 2013: Spam-Niveau
Mai bis Oktober 2013: Anteil an Spam von allen E-Mails
Spam-Themen
In den vergangenen drei Monaten konzentrierten Spammer sich hauptsächlich auf Diät-Produkte.
Somit belegte diese Kategorie mit einem Anteil von 40,2% den ersten Rang unter den zehn
häufigsten Spam-Themen (im 2. Quartal lag das Thema „Diät“ noch mit 10,8% auf Rang 3). AktienSpam stieg von Platz 7 (4,7%) im 2. Quartal zum zweithäufigsten Spam-Thema auf (20%) – auf
sogenannte „Penny-Stock-Spams“ stieß man im vergangenen Quartal regelmäßig.
Spam-Themen im 3. Quartal 2013
Gleich hinter dem Aktien-Spam landete diesmal die Kategorie „Sonstiges“ auf Rang 3. Das Thema
„Pharmaprodukte“ fiel im Vergleich zum 2. Quartal vom zweiten auf den vierten Rang ab.
E-Mail-Zombies
Auch im dritten Quartal von 2013 belegte Indien den ersten Platz unter den Ländern mit den
meisten Spambots – obwohl sein Anteil um 6% auf 13,2% zurückgegangen ist. Russland scheint
den Großteil dieser eingebüßten Prozentpunkte übernommen zu haben und kletterte von Rang 8
auf Rang 2. Neu vertreten sind u.a. die Ukraine, Saudi-Arabien und Spanien, während die USA,
Serbien und Mexiko nicht mehr unter den ersten 15 landeten.
Obwohl diese Zombie-Computer unerwünschte E-Mails versenden (einschließlich Links zu
Malware, Spam und Phishing-Websites), wurden sie auch in der Kategorie der Denial-of-ServiceAttacken verbucht. Ganze 20% der rund fünf Millionen Zombie-Computer, die von Eleven
Research aufgespürt wurden, sind auch an anderen Angriffen ohne den Versand von E-Mails
beteiligt.
Länder mit den meisten Zombie-Computern Q3 2013
Spam-Herkunftsländer
Weißrussland war wieder einmal die Nummer 1 unter den Spam-Ländern (6,7%) – im Vergleich
zum 2. Quartal (14,7%) jedoch mit nur halb so vielen Spam-Mails. Nachdem die Vereinigten
Staaten die Spam-Liste im ersten Quartal von 2013 noch angeführt hatten, fielen sie im 2. Quartal
auf den zweiten Platz (6,3%) – wo sie auch im dritten Quartal landeten (6,4%). Gefolgt werden die
Vereinigten Staaten von Indien (6,2%). Der Abstand zwischen Italien auf dem vierten (5,47%) und
Argentinien auf dem fünften Platz (5,41%) ist nur marginal. Die Positionen sechs bis acht werden
von Spanien (5,1%), Taiwan (3,6%) und Peru (3,4%) belegt. Kolumbien (3,3%) und der Iran
schafften es auf Rang 9 bzw. 10.
Spam-Herkunftsländer in Q3, 2013
Geographisch lagen die zehn führenden Spam-Länder weit auseinander, wobei drei asiatische, ein
osteuropäisches, drei südamerikanische, zwei südeuropäische und ein nordamerikanisches Land
vertreten waren. Auffällig war das Fehlen von lange Zeit führenden Spam-Ländern wie z.B.
Brasilien und Russland sowie die vollständige Abwesenheit von Ländern aus Mittel- und
Westeuropa.
Insgesamt waren die zehn führenden Spam-Herkunftsländer für beinahe die Hälfte des gesamten
Spam-Aufkommens verantwortlich (49,1%).
Scam
Im dritten Quartal des laufenden Jahres stellte das Commtouch Security Lab auch mehrere ScamKampagnen fest, die aktuelle Themen missbrauchten. Die folgende Scam-Mail tauchte zur selben
Zeit wie die oben beschriebene Nachrichtenmeldung zu Syrien auf (6. September 2013) und hatte
als Betreff die Zeile „Dr. Azeem Rahman Abdulbasit from Damascus Syria Waiting for your reply“:
Scam-Nachricht zum Syrien-Konflikt
Eine ungleich unterhaltsamere Scam-Nachricht hatte die Standardform einer E-Mail zu einem
„ruhenden Bankkonto“. Hier hat sich offensichtlich jemand verrechnet, denn nach den Regeln
dieser „Bank“ wäre dieses Konto längst „konfisziert“ worden und somit auch nicht mehr „ruhend“.
Doch demjenigen, der wirklich daran glaubte, 47 Millionen Dollar zu bekommen, würde dieser
Widerspruch vermutlich nicht einmal auffallen.
Phishing-Trends
Die folgende Tabelle listet die Kategorien seriöser Websites auf, bei denen die Wahrscheinlichkeit
am höchsten war, dass sich dahinter eine Phishing-Seite verbarg.
Phishing-infizierte Websites nach Kategorie
Rang
Kategorie
Rang
Kategorie
1
Kostenlose
Webseiten
6
2
Bildung
7
Shopping
3
Sport
8
Gesundheit & Medizin
4
Unternehmen
9
Immobilien
5
Computer &
Technologie
10
Tourismus
Mode & Kosmetik
Diese perfekt nachgemachte PayPal-Seite tauchte im August auf – und ist nur eine von rund 750,
die in jedem Monat täglich erstellt wurden (allein im August sind das 22.000 für PayPal). Der
einzige verräterische Hinweis ist die URL, die zu einer gehackten Website namens „One Luv
Creations“ gehört. In den Worten des Inhabers ist „One Luv Creations, a reflection of what I luv,
bodywork, art and meditation“ [„Eine Übersicht über die Dinge, die ich liebe: Körperarbeit, Kunst
und Meditation.“] Für einige Tage im August jedoch war „One Luv Creations“ auch eine PhishingWebsite (ganz schlechtes Karma)…
PayPal Phishing-Site, getarnt als “One Luv Creations” Website.