Attacke auf Social Networks

Malware Koobface verdopplet Kontroll-Server

Die Malware Koobface rüstet auf. Innerhalb kurzer Zeit stieg die Anzahl der Kontrollserver auf 142. Dem Anstieg ging anscheinend eine Säuberung voraus, möglicherweise handelt es sich dabei um eine Abwehrmaßnahme der Malware.

Die Sicherheitsfirma Kaspersky warnt davor, dass die Command-and-Conrol-Server von Koobface deutlich angestiegen sind. Bei diesen Kontrollservern handelt es sich um infizierte Rechner, die den angeschlossenen Zombie-PCs Anweisungen erteilen. Sie starten etwa Spam-Aussendungen, verteilen neue Malware oder teilen den infizierten Endgeräten mit, wo sie Aktualisierungen herunterladen können. Wie Kaspersky meldet, ist die Zahl der C&C-Server für Koobface erstmals auf 142 geklettert.

Zuwachs: Die Anzahl der C&C-Server für Koobface. (Quelle: Kaspersky)
Zuwachs: Die Anzahl der C&C-Server für Koobface. (Quelle: Kaspersky)

Dabei könnte es sich um eine Schutzmaßnahme der Malware handeln. Vor dem Anstieg stellte die Sicherheitsfirma fest, dass zahlreiche Kontrollserver vom Netz genommen wurden, wahrscheinlich wurde die Malware darauf entdeckt und entfernt. Die Zahl der Kommando-Server fiel kurzzeitig auf 71, anschließend hat sie sich allerdings innerhalb von zwei Tagen auf 142 Server verdoppelt. Stefan Tanase, Senior Regional Researcher bei Kaspersky kommentiert das Vorgehen der Online-Gangster so: "Die Gesamtzahl der C&C-Server für Koobface darf nicht zu stark abfallen, da sonst der Kontrollverlust über das Botnetz droht. Die Zahl schwankt immer um die 100 Stück, bei diesem Wert scheinen sich die Koobface-Gangster zurückzulehnen. Sie achten zudem auch darauf, dass die Server rund um die Welt verteilt sind, um ihre Verfolgung zu erschweren. Allerdings finden sich die meisten der Koobface-C&C-Server derzeit in den USA.

Koobface verbreitet seine Malware hauptsächlich über soziale Netze. Die infizierten Rechner werden auf Zugangsdaten hin untersucht, anschließend versucht Koobface beispielsweise in Status-Meldungen von Facebook-Konten Links zu manipulierten und bösartigen Seiten zu setzen.