Der Sicherheitsforscher Nart Villeneuve hat eine umfassende Analyse der Schadsoftware Koobface angefertigt und als PDF-Datei zum Download gestellt. Koobface – der Name ist ein Anagramm von „Facebook“ – verbreitet sich hauptsächlich in Sozialen Netzwerken und infiziert dem Report zufolge an einzelnen Tagen zwischen 1900 und zirka 4000 neuen PCs.
 
Verbreitet wird die Schadsoftware über die innerhalb Facebooks massenhaft auftauchenden, sensationsheischenden Nachrichten, die auf vermeintlich skandalöse Videos verweisen. Der Link in den Nachrichten oder Pinnwand-Postings zeigt aber nicht auf einen Clip, sondern führt zur Infektion des Opfer-PCs. Zumeist wird dem Anwender vorgegaukelt, dass ihm zum Betrachten des Videos noch ein Codec oder ein Update für Adobe Flash fehlt. De facto sind die nachgeladenen Dateien aber die Schadsoftware – ein bereits seit Jahren verwendeter Trick, der offenbar immer noch funktioniert.
 
Die Koobface-Macher unterhalten eine große Menge an gefälschten Nutzerkonten in den verschiedensten Online-Diensten, um die Spam-Nachrichten verteilen zu können. Alleine knapp 22.000 Facebook-Konten, von denen ungefähr 3000 mit legitimen Nutzern befreundet sind. Auf diese Weise ist die Malware-Gang mit über 900.000 Anwendern des Sozialen Netzes in Kontakt.
 
Wie die Analyse weiter aufzeigt, lädt Koobface in Abhängigkeit von der Geolokation des infizierten PCs verschiedene weitere Komponenten herunter. In den USA befindliche PCs werden beispielsweise mit einer gefälschten Antiviren-Software bedacht. Außerdem lässt die Schadsoftware Fenster auf dem Bildschirm der infizierten Computer auftauchen, die den Anwender zur Eingabe eines CAPTCHAs nötigen. Andernfalls würde der Computer herunter gefahren. Das CAPTCHA stammt von einem legitimen Web-Dienst wie zum Beispiel Google, bei dem das Botnet in diesem Moment gerade ein neues Konto anlegen will.
 
Der eigentliche Zweck des Botnets ist es, Geld zu verdienen. Die Hintermänner nutzen die infizierten PCs zum Beispiel für Klickbetrug: Die Schadsoftware schleust Links oder Werbebanner in den Browser ein und verleitet den Anwender dazu, darauf zu klicken. Pro Klick bekommen die Koobface-Macher Geld (Pay per Click). Ähnlich funktioniert das Pay-per-Install-Modell. Hier werden die Cyber-Kriminellen von anderen Gaunern pro Software entlohnt, die erfolgreich auf den Opfer-PCs installiert wurde. Zumeist dürfte es sich hierbei um gefälschte Antiviren-Software handeln.
 
Erfreulicherweise zeigt die Analyse auch auf, wie dem Botnet beizukommen ist. Der Autor der Analyse will die gesammelten Informationen nutzen, um eine konzertierte Aktion aller Beteiligten und Betroffenen zu erreichen. Denn nur so lässt sich der vielköpfigen Hydra beikommen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.