Skip to main content

Forscher nehmen Koobface-Server

Sicherheitsforscher arbeiten mit Strafverfolgungsbehörden und Internetdienstanbieter haben die Köpfe des Koobface-Botnets gestört.

Am späten Freitagnachmittag, Pacific Time, war der Computer, der als Befehls- und Kontrollserver zum Senden von Anweisungen an infizierte Koobface-Computer identifiziert wurde, offline. Laut Nart Villeneuve, Chief Research Officer der SecDev Group, war der Server eines von drei Koobface-Systemen, die am Freitag von Cörleix, einem britischen Internetdienstanbieter, offline genommen wurden. "Die sind alle im selben Netzwerk, und sie sind im Moment alle unzugänglich", sagte Villeneuve am Freitagabend.

Coreix nahm die Server herunter, nachdem die Forscher die britische Strafverfolgungsbehörde kontaktiert hatten, sagte Villeneuve. Das Unternehmen konnte nicht sofort für einen Kommentar erreicht werden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die Deaktivierung stört Koobface für einige Zeit, aber für jeden echten Effekt muss noch viel mehr passieren . Computer, die von Koobface infiziert sind, stellen eine Verbindung zu zwischengeschalteten Servern her - typischerweise Webservern, bei denen ihre FTP-Anmeldeinformationen kompromittiert wurden -, die sie dann an die nun heruntergekommenen Befehls- und Steuerungsserver weiterleiten.

Die Deaktivierung von Freitag ist Teil einer größeren Operation begann vor zwei Wochen. Villeneuve und sein Team haben die ISPs über die kompromittierten FTP-Accounts informiert, und sie haben auch Facebook und Google an Hunderttausende von Koobface-Konten weitergeleitet.

Die Facebook-Accounts werden verwendet, um Opfer auf Google Blogspot-Seiten zu locken, Diese leiten sie wiederum an Webserver weiter, die den bösartigen Koobface-Code enthalten. Den Opfern wird normalerweise ein interessantes Video auf einer Seite versprochen, die wie YouTube aussehen soll. Aber zuerst müssen sie spezielle Video-Software herunterladen. Diese Software ist eigentlich Koobface.

Koobface enthält mehrere Komponenten, einschließlich Wurm-Software, die automatisch versucht, Facebook-Freunde der Opfer zu infizieren, und Botnetz-Code, der den Hackern die Fernsteuerung des infizierten Computers ermöglicht.

Koobface hat sich herausgestellt ein sehr lukratives Geschäft seit dem ersten Erscheinen auf Facebook im Juli 2008. In einem am Freitag veröffentlichten Bericht sagt Villeneuve, dass das Botnet zwischen Juni 2009 und Juni 2010 mehr als 2 Millionen US-Dollar gemacht hat.

Forscher fanden Daten auf einem anderen zentralen gespeichert Server, genannt "das Mutterschiff", der von der Koobface-Bande verwendet wird, um Konten zu verfolgen. Dieser Server schickte täglich Textnachrichten an vier russische Handynummern und berichtete über die täglichen Verdienstsummen des Botnets. Der Umsatz reichte von einem Verlust von $ 1.014,11 am 15. Januar dieses Jahres bis zu einem Gewinn von $ 19.928,53 am 23. März.

Zahlungen an die Koobface-Betreiber erfolgten über den Paymer-Zahlungsdienst, ähnlich wie bei eBay PayPal.

Die Schöpfer der Bande würden Verwenden Sie ihre gehackten Computer, um mehr Gmail-, Blogspot- und Facebook-Konten zu registrieren und FTP-Passwörter (File Transfer Protocol) zu stehlen. Sie haben auch die Suchergebnisse ihrer Opfer durcheinander gebracht, um sie dazu zu verleiten, auf Online-Anzeigen zu klicken und von Werbefirmen Empfehlungsgelder zu generieren. Mehr Geld kam von gefälschter Antivirus-Software, die Koobface auf die PCs der Opfer schleichen konnte.

Fast die Hälfte des Koobface-Einkommens - etwas mehr als eine Million Dollar - stammte von gefälschter Antivirus-Software. Die andere Hälfte kam von Online-Werbegebühren.

Villeneuve identifiziert die Koobface-Bande in dem Bericht nicht, aber er glaubt, dass mindestens eines der Mitglieder in St. Petersburg lebt.

Interessanterweise hätten die Koobface-Operatoren das verursachen können mehr Schaden. Sie hätten in Online-Bankkonten oder gestohlene Passwörter oder Kreditkartennummern einbrechen können, aber sie taten es nicht.

"Die Koobface-Bande hatte einen gewissen Charme und ethische Zurückhaltung", heißt es in dem Bericht. "Sie haben mit Sicherheitsforschern über ihre Absichten und ihren Wunsch gesprochen, keinen größeren Schaden anzurichten. Sie beschränkten ihre Verbrechen auf Kleinkriminalität, wenn auch in großem Umfang und Umfang. Aber der gruselige Teil ist, dass sie es leicht hätten tun können."

Von nun an sind sie vielleicht nicht mehr so ​​freundlich mit Forschern.

Villeneuve hat Informationen an die Royal Canadian Mounted Police, das US Federal Bureau of Investigation und die britischen Behörden übergeben. Und die Forscher haben auch Facebook, Google und verschiedene ISPs über betrügerische und kompromittierte Konten informiert. Sie haben 20.000 gefälschte Facebook-Konten identifiziert; 500.000 gefälschte Gmail- und Blogspot-Konten und tausende kompromittierter FTP-Accounts, die von der Bande benutzt wurden.

Sie hoffen, dass diese Aktivitäten die Operationen des Botnetzes stören werden, aber Villeneuve macht sich keine Illusionen, dass Koobface gestoppt wird. "Ich denke, dass sie wahrscheinlich bald starten werden, und sie werden wahrscheinlich versuchen, so viele ihrer Bots wiederzugewinnen, wie sie können", sagte er.

Robert McMillan befasst sich mit Computersicherheit und allgemeiner Technologie Der IDG-Nachrichtenservice . Folge Robert auf Twitter unter @bobmcmillan. Roberts E-Mail-Adresse lautet [email protected]