Multi-Plattform-Attacken, also Angriffe, die neben Windows auch weitere Betriebssysteme im Visier haben, gab es lange nur als Proof-Of-Concept, nicht aber in freier Wildbahn. In der zweiten Jahreshälfte von 2012 konnte F-Secure aber gleich mehrere erfolgreiche Malware-Familien finden, die entsprechende Fähigkeiten haben. Dies geht aus einem Report der finnischen Antivirenspezialisten hervor.
Teilweise handelt es sich dabei um Malware, die Java-Applets als Einfallstor nutzt. Die meisten Attacken konzentrieren sich auf Windows und Mac OS, allerdings, so F-Secure, fanden einige Angreifer auch Zeit für Linux. Interessant hierbei: Die Angriffe greifen meist nicht direkt auf Schwachstellen im System zurück, sondern versuchen den Nutzer auszutricksen, so dass er die bösartigen Programme selbst oder mit erweiterten Rechten als Administrator ausführt. Die Angriffe gelten dabei auch mobilen Plattformen. So wurde beispielsweise im Juli eine als Skype-Variante getante Malware gefunden, die Android, Symbian und iOS angriff.
In eine ähnliche Kerbe schlagen Überwachungsanwendungen wie FinSpy oder Remote Control System. Diese Produkte, die auch von Regierungen erworben werden, wurden beispielsweise während der ägyptischen Revolution von den Rebellen gefunden und laut mehreren Berichten gegen Aufständische oder Journalisten verwendet. Die Software infiziert PCs und mobile Betriebssysteme, darunter Android, Blackberry oder iOS.
Bei den häufig genutzten Exploits sind neben dem Adobe Reader (CVE-2010-0188) und der TrueType-Schwachstelle (CVE-2011-3402) vor allem neu gefundene Schwachstellen in Java vertreten. Allein drei Schwachstellen wurden in letztem Jahr in Java gefunden (CVE-2012-5076, CVE-2012-4681 und CVE-2012-1723), alle drei wurden aktiv ausgenutzt. Das dürfte sich auch im Jahre 2013 weiter fortsetzen, allein in den ersten Monaten hat Oracle schon über 50 Schwachstellen in Java geschlossen.
Bei den mobilen Betriebssystemen bleibt Android weiterhin die Plattform, welche die meisten Attacken aushalten muss. F-Secure hat hier im überwachten Zeitraum 238 neue Angriffe gefunden. Symbian, früher ebenfalls ein beliebtes Ziel, ist deutlich abgefallen. Im letzten Quartal war außerdem ein weiterer deutlicher Trend zu erkennen: Immer häufiger ist die Malware darauf aus, direkt Geld zu verdienen. Das geschieht beispielsweise durch gestohlene Daten oder indem sie Premium-SMS verschicken.
ZeroAccess war laut F-Secure-Report eines der vorherrschenden Botnets im letzten Halbjahr. Einer der Gründe ist, dass die Bande hinter ZeroAccess sich verschiedener Taktiken aus dem Affiliate-Bereich bedient. Die Macher bewarben den Installer in verschiedenen Untergrund-Foren im russischen Web. Dort konnten andere Kriminelle die Malware erhalten und über ihre infizierten Rechner verteilen. Anschließend werden die Partner nach Pay-Per-Install bezahlt, die Preise waren abhängig von der Größe des Botnets und der Ort der infizierten Maschinen – Bots in den USA bringen etwa deutlich mehr Geld. Die Hintermänner von ZeroAccess nutzten die infizierten Maschinen anschließend, um Spam zu verschicken, für Klickbetrug, also das Klicken auf Werbeanzeigen, oder um Bitcoins auszurechnen.
Das zweite populäre Botnet ist nach wie vor Zeus. Seit 2009 treibt das Botnet sein Unwesen, selbst nach größeren Schlägen gegen die Malware-Familie ist Zeus noch immer unterwegs. Einer der Gründe dafür ist, dass Zeus auf eine P2P-Strategie setzt und so relativ robuste Netzwerke aufbauen kann. Nachdem die Zeus-Malware offen im Web vertrieben wird, kann so nahezu jeder eine eigene Variante seines privaten Zeus Botnets erstellen kann. Zeus hat sich vor allem auf Phishing von Bank- und Kreditkarteninformationen sowie auf Zugänge zu populären Webseiten, etwa Facebook, Amazon oder eBay spezialisiert.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.