| |
DB8AS > VIRUS 27.04.12 22:03l 327 Lines 18978 Bytes #999 (0) @ DL
BID : R42DB0EAM000
Read: DK3UZ GUEST DL1LCA
Subj: BSI Newsletter 120426
Path: DB0FHN<DB0MRW<DB0FOR<DB0SIF<DB0EAM
Sent: 120427/1943z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:R42DB0EAM000
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To: VIRUS @ DL
SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 26.04.2012
Nummer: NL-T12/0008
Die Themen dieses Newsletters:
1. Mac-Trojaner äSabPub/SabPab“: Malware nutzt bekannte Schwachstellen
2. Falsche Telekom-Rechnung: PDF-Anhang enthält Malware
3. Tiefgreifender Lösegeldtrojaner: Malware verhindert Normal-Start
4. Sicherheitslücke in IrfanView-Plugin: Gefahr durch manipulierte FlashPix-Dateien
5. Gefährliches Spiel: Variante von äAngry Birds Space“ enthält Malware
6. Falsche Falsch-Überweisung: Neue Masche beim Online-Banking-Betrug?
7. äDraw something“: Beliebte äMontagsmaler“-App enthält Abofalle
8. Online-Verlag gehackt: IT-Medien vertrieben unwissentlich Malware
9. Tools, um äFlashback“ zu entfernen: Anwender haben mehrere Möglichkeiten
10. Sicherheitsupdate für WordPress: Sechs Schwachstellen werden beseitigt
11. Standard-PIN erlaubt Zugriff auf Netzwerke : Schwachstelle in WLAN-Routern
12. Trotz Warnung in die Falle getappt: Laut BGH-Urteil haften Bankkunden für Fahrlässigkeiten beim Online-Banking
EDITORIAL
Guten Tag,
Erst äFlashback“, dann äSabPub/SabPab“: Zwei Trojaner haben innerhalb
weniger Wochen für Unruhe unter Anwendern von Apple-Betriebssystemen
gesorgt. Hunderttausende Mac-Rechner wurden Teil von Botnetzen. Die
Vorgänge zeigen, dass mutmaßliche Cyber-Kriminelle die als bisher als
relativ sicher geltende Windows-Alternative als lohnendes Ziel entdeckt
haben. Hier ist also erhöhte Wachsamkeit geboten.
Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit im
WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team
STÖRENFRIEDE
1. Mac-Trojaner äSabPub/SabPab“: Malware nutzt bekannte Schwachstellen
Ein Trojaner namens SabPub oder SabPab infiziert derzeit Mac-Computer in
aller Welt. Dies meldet
heise.de [http://www.heise.de/security/meldung/Neue-Mac-Malware-nutzt-alte-Java-Luecke-1526095.html]
unter Berufung auf Berichte der IT-Sicherheitsanbieter
Sophos [http://nakedsecurity.sophos.com/2012/04/16/sabpab-trojan-mac-word/]
und
Kaspersky [http://www.kaspersky.com/de/news?id=207566556].
Eine alte Variante des Trojaners nutzt dabei die auch vom
Flashback-Trojaner ausgenutzte Java-Sicherheitslücke in Mac OS X aus. Die
Schwachstelle lässt sich per Java-Update oder Entfernungstool beheben
(siehe Meldung unter äSchutzmaßnahmen“).
Eine neuere Variante von SabPub/SabPab versteckt sich in manipulierten
Word-Dokumenten, mit denen Anwender von Microsoft Office für Mac 2004 und
2008 angegriffen werden sollen. Dabei wird eine seit 2009 bekannte und
per Update bereits geschlossene Sicherheitslücke in Microsoft Office für
Mac ausgenutzt.
Laut
computerwoche.de [http://www.computerwoche.de/security/2509654/]
wurde in den bisher bekannten Fällen über E-Mails mit dem Thema
Tibet/Dalai Lama versucht, den in einem Word-Dokument versteckten
Trojaner zu übertragen. Öffnen Anwender das Dokument, installiert sich
die Malware und versucht ein Botnetz aufzubauen.
zdnet.de [http://www.zdnet.de/news/41561642/word-variante-von-mac-trojaner-aufgetaucht.htm]
empfiehlt Anwendern von Mac OS X, ihre Microsoft Office-Anwendungen auf
Aktualität zu prüfen und ggf. auf den neuesten Stand zu bringen.
2. Falsche Telekom-Rechnung: PDF-Anhang enthält Malware
Aktuell sind gefälschte E-Mail-Rechnungen von der Telekom im Umlauf. Das
berichtet
heise.de [http://www.heise.de/newsticker/meldung/Vorsicht-bei-angeblicher-Telekom-Onlinerechnung-1545909.html].
Die E-Mails mit dem Betreff äTelekom GmbH Online_Rechnung. 042012“
enthalten eine PDF-Datei mit Malware im Anhang. Wer den Anhang öffnet,
riskiert, dass sein System mit Spionage-Software infiziert wird, so
heise.de. Die angebliche Rechnung nutze mindestens eine bekannte
Schwachstelle im Adobe Reader aus, um Schadsoftware aus dem Internet
nachzuladen und zu installieren.
Die gefälschten Rechnungen unterscheiden sich optisch nur in Details von
originalen Rechnungen. Die Adressaten werden offenbar auch mit Namen
angesprochen. In einem Update der Meldung berichtet heise.de, dass
bereits ähnliche Mail-Wellen mit angeblichen Vodafone-Rechnungen
vorliegen. Wie Anwender zwischen Original und Fälschung unterscheiden
können, ist auf
sueddeutsche.de [http://www.sueddeutsche.de/digital/trojaner-gefaelschte-telekom-rechnung-installiert-schadsoftware-1.1340201]
nachzulesen. Die Website BSI FUER
BUERGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/UpdatePatchManagement/LeitfadenUpdatemanagement/leitfadenUpdateManagement_node.html]
gibt Anwendern Tipps, wie sie Software wie den Adobe Reader immer auf dem
neuesten Stand halten können.
3. Tiefgreifender Lösegeldtrojaner: Malware verhindert Normal-Start
Der Hersteller von IT-Security-Software Trend Micro warnt
vor einer neuen Ransomware für Windows 2000, Windows XP, Windows Server
2003
[http://blog.trendmicro.com/ransomware-takes-mbr-hostage] bzw.
einem Lösegeld-Trojaner. Dabei sperrt die Malware den Rechner des
Anwenders, bis dieser einen Geldbetrag an die mutmaßlichen
Cyber-Erpresser überwiesen hat. In vielen Fällen sind die
Lösegeldzahlungen wirkungslos. Anders als vorhergehende Ransomware, wie
der GEMA- oder BKA-Trojaner, nistet sich der nun aufgetauchte Trojaner im
sogenannten Master Boot Record ein, und kann so den Start des Computers
komplett verhindern.
Die Malware wird über präparierte Websites übertragen. Nach der
Installation führt das Programm einen Neustart durch und fordert den
Nutzer auf, rund 90 Euro zu zahlen. Dafür soll es einen Code geben, mit
dem der Rechner wieder freigeschaltet werden kann. Trend Micro hat eine
Anleitung [http://about-threats.trendmicro.com/Malware.aspx?language=us&name=TROJ_RANSOM.AQB]
veröffentlicht, mit der sich der Schadcode kostenlos entfernen lässt.
4. Sicherheitslücke in IrfanView-Plugin: Gefahr durch manipulierte
FlashPix-Dateien
Ein Plugin für das Freeware-Bildbearbeitungsprogramm IrfanView enthält
eine Sicherheitslücke. Dies berichtet u.a.
golem.de [http://www.golem.de/news/bildbetrachter-plugin-fuer-irfanview-mit-sicherheitsluecke-1204-91193.html].
Betroffen ist das Plugin, das die Betrachtung von Bilddateien im Format
FlashPix (Dateiendung: .fpx) ermöglicht. Das fehlerhafte Plugin war im
Plugin-Paket Version 4.33 enthalten. Wird eine manipulierte
FlashPix-Datei damit geöffnet, könnten Angreifer beliebigen Schadcode
ausführen. Über die Website von IrfanView können Anwender ein
aktualisiertes Plugin
herunterladen [http://www.irfanview.net/].
5. Gefährliches Spiel: Variante von äAngry Birds Space“ enthält Malware
Die Episoden der Spiele-Reihe äAngry Birds“ werden vornehmlich auf
mobilen Endgeräten gespielt und sind in App-Stores verfügbar. Den Erfolg
des Spiels versuchen Cyber-Kriminelle nun offenbar auszunutzen.
Dem IT-Sicherheitsdienstleister Spohos
zufolge [http://nakedsecurity.sophos.com/2012/04/12/android-malware-angry-birds-space-game/]
sind manipulierte Versionen der jüngsten Episode äAngry Birds Space“ in
inoffiziellen Android-Webstores aufgetaucht. Die voll funktionsfähigen
Varianten enthielten ein trojanisches Pferd, das sich Root-Zugriff auf
das Android-Gerät verschafft und Code installiert. Fortan kann das
Schadprogramm über eine Website weiteren Schadcode nachladen und auf dem
Endgerät installieren. Infizierte Geräte werden zudem Teil eines
Botnetzes. Sophos empfiehlt Anwendern, Apps nur aus vertrauenswürdigen
Quellen herunterzuladen.
6. Falsche Falsch-Überweisung: Neue Masche beim Online-Banking-Betrug?
Über eine erstmals angezeigte Betrugsmasche beim Online-Banking berichtet
die
jenaer-internetzeitung.de [http://www.thueringen-reporter.de/18.04.2012/vorsicht-beim-online-banking-neue-betrugsmasche-mehrfach-angezeigt.htm]
unter Berufung auf einen Bericht der Polizei Jena. Demnach gaukeln
mutmaßliche Betrüger mithilfe einer Schadsoftware Anwendern beim Aufruf
ihres Online-Banking-Portals vor, dass auf ihr Konto versehentlich Geld
überwiesen wurde. Der Kontoinhaber wird gebeten, dieses Geld zurück zu
überweisen.
Augenscheinlich findet sich der genannte Betrag als Gutschrift auch auf
dem Konto. Tatsächlich ist aber kein Geld eingegangen, die Malware
gaukelt den Umsatz nur vor. Klickt der Kontoinhaber auf den Button
äRetouren“, wird er direkt auf die Überweisung weitergeleitet, die
automatisch mit den Empfängerdaten der Betrüger ausgefüllt ist. Sendet
der Kontoinhaber die Überweisung ab, wird der Betrag an die Betrüger
überwiesen.
Nach Aussage der Polizei Jena können gängige Sicherheitsverfahren hier
nicht greifen, da die Überweisung vom Kontoinhaber autorisiert wird.
Das Bundeskriminalamt rät
Anwendern, [https://www.bka.de/nn_196810/DE/ThemenABisZ/Kriminalpraevention/Warnhinweise/110715__warnhinweisOnlinebanking.html?__nnn=true]
Meldungen, die zu Rücküberweisungen auffordern, nicht Folge zu leisten.
Statt dessen solle man sich an die nächste Polizeidienststelle wenden.
7. äDraw something“: Beliebte äMontagsmaler“-App enthält Abofalle
Bei der Social-Gaming-App äDraw Something“, muss der Anwender Gegenstände
und Begriffe zeichnerisch darstellen, andere müssen erraten, um was es
sich handelt. Wie
heise.de [http://www.heise.de/security/meldung/Draw-Something-lockt-Montagsmaler-in-die-Abofalle-1539369.html]
unter Berufung auf einen Bericht des
IT-Sicherheitsdiensleisters
Kaspersky [https://www.securelist.com/en/blog/208193460/Beware_of_deceptive_in_app_advertising]
schreibt, ist die kostenlose Variante des Spiels selbst kein
Sicherheitsrisiko. Gefährlich könne jedoch eingeblendete Werbung sein,
die Anwender in eine Abofalle locken kann. Eine Nachricht in der
Aufmachung des Smartphone- Betriebssystems weist Anwender darauf hin, das
Upgrades zur Verbesserung der Akkuleistung zur Verfügung stünden. Dazu
müsse eine Nummer in den USA angerufen werden. Nur wer das Kleingedruckte
liest, erfährt, dass er mit diesem Anruf einen SMS-Premium-Dienst für
9,99 US-Dollar im Monat abonniert. Von einem Akku-Upgrade ist ferner
keine Rede mehr. Kaspersky hat die Abofalle für die Android-Version der
App nachgewiesen. Ob sie auch in iOS-Version vorhanden ist, ist unklar.
Laut Kaspersky wurde das Spiel insgesamt weltweit 50 Millionen mal
heruntergeladen.
8. Online-Verlag gehackt: IT-Medien vertrieben unwissentlich Malware
Die Computec Media AG, Betreiber von Online-Medien, ist nach eigener
Aussage Opfer eines Hackerangriffes geworden. Betroffen sind u.a die
Websites pcgames.de, pcaction.de und gamezone.de. Eine vollständige Liste
der betroffenen Websites wurde in einer Stellungnahme auf
pcgames.de [http://www.pcgames.de/Computec-Media-AG-DE-Firma-15341/News/Hacker-Angriff-auf-unsere-Seiten-Malware-verteilt-Zugriff-auf-Daten-878294/]
veröffentlicht. Dort heißt es auch, es sei Angreifern gelungen, Zugriff
u.a. auf Downloads und Werbemittel zu bekommen. Diese wurden so
modifiziert, dass sich Anwender darüber möglicherweise Schadsoftware,
Keylogger und Trojaner heruntergeladen haben und ihr System infiziert
wurde.
Auch die Datenbanken und Server wurden möglicherweise manipuliert.
Passwörter von Anwendern könnten so bei der Eingabe auf den gehackten
Websites abgefangen oder durch den heruntergeladenen Keylogger
aufgezeichnet worden sein. Anwender sollten deshalb, so empfiehlt es die
Computec Media AG, umgehend ihr Passwort ändern, auch bei Diensten, bei
denen das gleiche Passwort verwendet wird. In der Stellungnahme gibt das
Medienunternehmen betroffenen Anwendern Tipps und Handlungsanweisungen,
wie die Malware entfernt werden kann und welche Sicherheitsmaßnahmen zu
ergreifen sind.
SCHUTZMASSNAHMEN
9. Tools, um äFlashback“ zu entfernen: Anwender haben mehrere
Möglichkeiten
Der Flashback-Trojaner, der Hunderttausende Apple-PCs infiziert und zum
Teil eines Botnetzes gemacht hat, treibt weiter sein Unwesen.
Apple bietet Anwendern die Anwendung zur Beseitigung der Malware auf zwei
Weisen an:
1. Das Tool wird zusammen mit Updates für Java für die Betriebssysteme
Mac OS X Lion
2012-003 [http://support.apple.com/kb/DL1515?viewlocale=de_DE] und
Mac OS X 10.6-Update
8 [http://support.apple.com/kb/DL1516?viewlocale=de_DE] ausgeliefert.
2. Das Tool ist für sich allein
verfügbar [http://support.apple.com/kb/DL1517?viewlocale=de_DE].
Gedacht ist dies für Anwender, die kein Java installiert haben.
Zudem bietet der Antivirensoftware-Hersteller F-Secure ein
kostenloses Flashback-
Entfernungstool [http://www.f-secure.com/weblog/archives/00002346.html]
für Mac-Anwender an.
10. Sicherheitsupdate für WordPress: Sechs Schwachstellen werden
beseitigt
Die Blogging-Software WordPress ist in einer aktualisierten Version
verfügbar. Mit Wordpress 3.3.2 [http://blog.wpde.org/]
schließen die Entwickler sechs Sicherheitslücken. Laut
zdnet.de [http://www.zdnet.de/news/41561799/wordpress-3-3-2-schliesst-sechs-sicherheitsluecken.htm]
lagen einige der Schwachstellen in Bibliotheken, die unter anderem dem
Hochladen und Einbetten von Mediendateien dienen. Zudem wurden zwei
Lücken geschlossen, die Cross-Site-Scripting ermöglichten. Angreifer
könnten hierdurch eigenen Javascript-Code in bestimmte WordPress-Seiten
einschleusen. Detaillierte Informationen zu den behobenen Schwachstellen
finden sich im
Änderungsprotokoll [http://core.trac.wordpress.org/log/branches/3.3?rev=20552&stop_rev=20087].
Die aktuelle WordPress-Version kann von der deutschen WordPress-Seite
heruntergeladen [http://de.wordpress.org/] werden.
11. Standard-PIN erlaubt Zugriff auf Netzwerke : Schwachstelle in
WLAN-Routern
Das BSI informiert in seiner Pressemitteilung über einen
Fehler in der
WPS-PIN-Methode [https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2012/Schwachstelle-in-WLAN-Routern_25042012.html]
von WLAN-Routern. Betroffen sind mehrere von der Telekom vertriebener
WLAN-Router. Nach Informationen der Telekom haben die WLAN-Router
(Speedport W 504V, Speedport W 723 Typ B und Speedport W 921V) eine
Schwachstelle, die den unautorisierten Zugriff auf interne Netzwerke
ermöglicht. Der Grund ist ein Fehler in der WPS-PIN-Methode, die Nutzern
eine vereinfachte Einrichtung ihres WLANs ermöglicht. Da in diesen
Routern die gleiche WPS-PIN existiert, könnte ein Angreifer sich
unautorisiert mit dem internen Netzwerk verbinden. Anschließend kann er
über den Internet-Zugang im Internet surfen und auf die Dateien von
Netzwerkfestplatten oder freigegebenen Ordnern zugreifen.
Anwender der beiden WLAN-Router Speedport W 504V und Speedport W 723V Typ
B sollten vorübergehend über die Konfigurations-Weboberfläche des Gerätes
die WPS-Funktionalität deaktivieren. Bei dem Modell Speedport W 921V
funktioniert diese Option nicht und auch das Ändern der PIN schließt die
Lücke nicht. Deshalb können sich Betroffene momentan nur durch die
Abschaltung des WLANs schützen und kabelgebunden ins Internet gehen. Um
durch zukünftige Firmware-Updates geschützt zu werden, sollten Nutzer der
entsprechenden Router sicherstellen, dass die Funktion automatischer
Updates aktiviert ist.
PRISMA
12. Trotz Warnung in die Falle getappt: Laut BGH-Urteil haften Bankkunden
für Fahrlässigkeiten beim Online-Banking
Opfer von Online-Banking-Betrug können nicht in jedem Fall auf die
Rückerstattung der verlorenen Geldbeträge durch die Bank hoffen. Dies ist
ein Fazit aus dem Urteil des Bundesgerichtshofs (BGH) vom 24. April 2012,
das in einer
Pressemeldung [http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2012&Sort=3&nr=60048&pos=0&anz=50]
zusammengefasst wird.
Verhandelt wurde der Fall eines Bankkunden, dessen Computer mit Malware
infiziert wurde. Diese leitete den Anwender bei Aufruf des
Online-Banking-Portals auf eine manipulierte Website in der Optik der
Hausbank um. Das Programm forderte den Anwender auf, zehn
Transaktionsnummern in ein Feld einzugeben. Mithilfe dieser TANs konnten
sich die Angreifer 5000 Euro vom Anwenderkonto überweisen. Die Bank ist
in diesem Fall nicht zur Erstattung des Verlustes verpflichtet. Sie hat
Anwender im Log-in-Bereich der Online-Banking-Website ausdrücklich mit
dem Hinweis gewarnt: äDerzeit sind vermehrt Schadprogramme und sogenannte
Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern
oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie
niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie
niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!“. Dem
BGH zufolge habe der Kunde fahrlässig gehandelt: äEr hat die im Verkehr
erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang,
also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des
ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben
hat“. Der klagende Anwender habe damit keinen Anspruch auf Erstattung des
verlorenen Geldes.
Auf den Webseiten von BSI FUER BUERGER erhalten Anwender Hinweise zur
sicheren Handhabung des
Online-Bankings [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/onlinebanking_node.html]
und zu
Schutzprogrammen [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/schutzprogramme_node.html],
die vor Angriffen durch Cyberkriminelle schützen.
-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.
Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------
Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.
vy 73, Jochen
ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de
Read previous mail | Read next mail
| |
