|
| Autor | Mitteilung |
Nubira Moderator  Beiträge: 15134 | Gesendet: 11:43 - 26.04.2012 SICHER o INFORMIERT Der Newsletter von www.buerger-cert.de Ausgabe vom 26.04.2012 Nummer: NL-T12/0008 Die Themen dieses Newsletters: 1. Mac-Trojaner „SabPub/SabPab“: Malware nutzt bekannte Schwachstellen 2. Falsche Telekom-Rechnung: PDF-Anhang enthält Malware 3. Tiefgreifender Lösegeldtrojaner: Malware verhindert Normal-Start 4. Sicherheitslücke in IrfanView-Plugin: Gefahr durch manipulierte FlashPix-Dateien 5. Gefährliches Spiel: Variante von „Angry Birds Space“ enthält Malware 6. Falsche Falsch-Überweisung: Neue Masche beim Online-Banking-Betrug? 7. „Draw something“: Beliebte „Montagsmaler“-App enthält Abofalle 8. Online-Verlag gehackt: IT-Medien vertrieben unwissentlich Malware 9. Tools, um „Flashback“ zu entfernen: Anwender haben mehrere Möglichkeiten 10. Sicherheitsupdate für WordPress: Sechs Schwachstellen werden beseitigt 11. Standard-PIN erlaubt Zugriff auf Netzwerke : Schwachstelle in WLAN-Routern 12. Trotz Warnung in die Falle getappt: Laut BGH-Urteil haften Bankkunden für Fahrlässigkeiten beim Online-Banking EDITORIAL Guten Tag, Erst „Flashback“, dann „SabPub/SabPab“: Zwei Trojaner haben innerhalb weniger Wochen für Unruhe unter Anwendern von Apple-Betriebssystemen gesorgt. Hunderttausende Mac-Rechner wurden Teil von Botnetzen. Die Vorgänge zeigen, dass mutmaßliche Cyber-Kriminelle die als bisher als relativ sicher geltende Windows-Alternative als lohnendes Ziel entdeckt haben. Hier ist also erhöhte Wachsamkeit geboten. Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr BUERGER-CERT-Team STÖRENFRIEDE 1. Mac-Trojaner „SabPub/SabPab“: Malware nutzt bekannte Schwachstellen Ein Trojaner namens SabPub oder SabPab infiziert derzeit Mac-Computer in aller Welt. Dies meldet heise.de [http://www.heise.de/security/meldung/Neue-Mac-Malware-nutzt-alte-Java-Luecke-1526095.html] unter Berufung auf Berichte der IT-Sicherheitsanbieter Sophos [http://nakedsecurity.sophos.com/2012/04/16/sabpab-trojan-mac-word/] und Kaspersky [http://www.kaspersky.com/de/news?id=207566556]. Eine alte Variante des Trojaners nutzt dabei die auch vom Flashback-Trojaner ausgenutzte Java-Sicherheitslücke in Mac OS X aus. Die Schwachstelle lässt sich per Java-Update oder Entfernungstool beheben (siehe Meldung unter „Schutzmaßnahmen“). Eine neuere Variante von SabPub/SabPab versteckt sich in manipulierten Word-Dokumenten, mit denen Anwender von Microsoft Office für Mac 2004 und 2008 angegriffen werden sollen. Dabei wird eine seit 2009 bekannte und per Update bereits geschlossene Sicherheitslücke in Microsoft Office für Mac ausgenutzt. Laut computerwoche.de [http://www.computerwoche.de/security/2509654/] wurde in den bisher bekannten Fällen über E-Mails mit dem Thema Tibet/Dalai Lama versucht, den in einem Word-Dokument versteckten Trojaner zu übertragen. Öffnen Anwender das Dokument, installiert sich die Malware und versucht ein Botnetz aufzubauen. zdnet.de [http://www.zdnet.de/news/41561642/word-variante-von-mac-trojaner-aufgetaucht.htm] empfiehlt Anwendern von Mac OS X, ihre Microsoft Office-Anwendungen auf Aktualität zu prüfen und ggf. auf den neuesten Stand zu bringen. 2. Falsche Telekom-Rechnung: PDF-Anhang enthält Malware Aktuell sind gefälschte E-Mail-Rechnungen von der Telekom im Umlauf. Das berichtet heise.de [http://www.heise.de/newsticker/meldung/Vorsicht-bei-angeblicher-Telekom-Onlinerechnung-1545909.html]. Die E-Mails mit dem Betreff „Telekom GmbH Online_Rechnung. 042012“ enthalten eine PDF-Datei mit Malware im Anhang. Wer den Anhang öffnet, riskiert, dass sein System mit Spionage-Software infiziert wird, so heise.de. Die angebliche Rechnung nutze mindestens eine bekannte Schwachstelle im Adobe Reader aus, um Schadsoftware aus dem Internet nachzuladen und zu installieren. Die gefälschten Rechnungen unterscheiden sich optisch nur in Details von originalen Rechnungen. Die Adressaten werden offenbar auch mit Namen angesprochen. In einem Update der Meldung berichtet heise.de, dass bereits ähnliche Mail-Wellen mit angeblichen Vodafone-Rechnungen vorliegen. Wie Anwender zwischen Original und Fälschung unterscheiden können, ist auf sueddeutsche.de [http://www.sueddeutsche.de/digital/trojaner-gefaelschte-telekom-rechnung-installiert-schadsoftware-1.1340201] nachzulesen. Die Website BSI FUER BUERGER [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/UpdatePatchManagement/LeitfadenUpdatemanagement/leitfadenUpdateManagement_node.html] gibt Anwendern Tipps, wie sie Software wie den Adobe Reader immer auf dem neuesten Stand halten können. 3. Tiefgreifender Lösegeldtrojaner: Malware verhindert Normal-Start Der Hersteller von IT-Security-Software Trend Micro warnt vor einer neuen Ransomware für Windows 2000, Windows XP, Windows Server 2003 [http://blog.trendmicro.com/ransomware-takes-mbr-hostage] bzw. einem Lösegeld-Trojaner. Dabei sperrt die Malware den Rechner des Anwenders, bis dieser einen Geldbetrag an die mutmaßlichen Cyber-Erpresser überwiesen hat. In vielen Fällen sind die Lösegeldzahlungen wirkungslos. Anders als vorhergehende Ransomware, wie der GEMA- oder BKA-Trojaner, nistet sich der nun aufgetauchte Trojaner im sogenannten Master Boot Record ein, und kann so den Start des Computers komplett verhindern. Die Malware wird über präparierte Websites übertragen. Nach der Installation führt das Programm einen Neustart durch und fordert den Nutzer auf, rund 90 Euro zu zahlen. Dafür soll es einen Code geben, mit dem der Rechner wieder freigeschaltet werden kann. Trend Micro hat eine Anleitung [http://about-threats.trendmicro.com/Malware.aspx?language=us&name=TROJ_RANSOM.AQB] veröffentlicht, mit der sich der Schadcode kostenlos entfernen lässt. 4. Sicherheitslücke in IrfanView-Plugin: Gefahr durch manipulierte FlashPix-Dateien Ein Plugin für das Freeware-Bildbearbeitungsprogramm IrfanView enthält eine Sicherheitslücke. Dies berichtet u.a. golem.de [http://www.golem.de/news/bildbetrachter-plugin-fuer-irfanview-mit-sicherheitsluecke-1204-91193.html]. Betroffen ist das Plugin, das die Betrachtung von Bilddateien im Format FlashPix (Dateiendung: .fpx) ermöglicht. Das fehlerhafte Plugin war im Plugin-Paket Version 4.33 enthalten. Wird eine manipulierte FlashPix-Datei damit geöffnet, könnten Angreifer beliebigen Schadcode ausführen. Über die Website von IrfanView können Anwender ein aktualisiertes Plugin herunterladen [http://www.irfanview.net/]. 5. Gefährliches Spiel: Variante von „Angry Birds Space“ enthält Malware Die Episoden der Spiele-Reihe „Angry Birds“ werden vornehmlich auf mobilen Endgeräten gespielt und sind in App-Stores verfügbar. Den Erfolg des Spiels versuchen Cyber-Kriminelle nun offenbar auszunutzen. Dem IT-Sicherheitsdienstleister Spohos zufolge [http://nakedsecurity.sophos.com/2012/04/12/android-malware-angry-birds-space-game/] sind manipulierte Versionen der jüngsten Episode „Angry Birds Space“ in inoffiziellen Android-Webstores aufgetaucht. Die voll funktionsfähigen Varianten enthielten ein trojanisches Pferd, das sich Root-Zugriff auf das Android-Gerät verschafft und Code installiert. Fortan kann das Schadprogramm über eine Website weiteren Schadcode nachladen und auf dem Endgerät installieren. Infizierte Geräte werden zudem Teil eines Botnetzes. Sophos empfiehlt Anwendern, Apps nur aus vertrauenswürdigen Quellen herunterzuladen. 6. Falsche Falsch-Überweisung: Neue Masche beim Online-Banking-Betrug? Über eine erstmals angezeigte Betrugsmasche beim Online-Banking berichtet die jenaer-internetzeitung.de [http://www.thueringen-reporter.de/18.04.2012/vorsicht-beim-online-banking-neue-betrugsmasche-mehrfach-angezeigt.htm] unter Berufung auf einen Bericht der Polizei Jena. Demnach gaukeln mutmaßliche Betrüger mithilfe einer Schadsoftware Anwendern beim Aufruf ihres Online-Banking-Portals vor, dass auf ihr Konto versehentlich Geld überwiesen wurde. Der Kontoinhaber wird gebeten, dieses Geld zurück zu überweisen. Augenscheinlich findet sich der genannte Betrag als Gutschrift auch auf dem Konto. Tatsächlich ist aber kein Geld eingegangen, die Malware gaukelt den Umsatz nur vor. Klickt der Kontoinhaber auf den Button „Retouren“, wird er direkt auf die Überweisung weitergeleitet, die automatisch mit den Empfängerdaten der Betrüger ausgefüllt ist. Sendet der Kontoinhaber die Überweisung ab, wird der Betrag an die Betrüger überwiesen. Nach Aussage der Polizei Jena können gängige Sicherheitsverfahren hier nicht greifen, da die Überweisung vom Kontoinhaber autorisiert wird. Das Bundeskriminalamt rät Anwendern, [https://www.bka.de/nn_196810/DE/ThemenABisZ/Kriminalpraevention/Warnhinweise/110715__warnhinweisOnlinebanking.html?__nnn=true] Meldungen, die zu Rücküberweisungen auffordern, nicht Folge zu leisten. Statt dessen solle man sich an die nächste Polizeidienststelle wenden. 7. „Draw something“: Beliebte „Montagsmaler“-App enthält Abofalle Bei der Social-Gaming-App „Draw Something“, muss der Anwender Gegenstände und Begriffe zeichnerisch darstellen, andere müssen erraten, um was es sich handelt. Wie heise.de [http://www.heise.de/security/meldung/Draw-Something-lockt-Montagsmaler-in-die-Abofalle-1539369.html] unter Berufung auf einen Bericht des IT-Sicherheitsdiensleisters Kaspersky [https://www.securelist.com/en/blog/208193460/Beware_of_deceptive_in_app_advertising] schreibt, ist die kostenlose Variante des Spiels selbst kein Sicherheitsrisiko. Gefährlich könne jedoch eingeblendete Werbung sein, die Anwender in eine Abofalle locken kann. Eine Nachricht in der Aufmachung des Smartphone- Betriebssystems weist Anwender darauf hin, das Upgrades zur Verbesserung der Akkuleistung zur Verfügung stünden. Dazu müsse eine Nummer in den USA angerufen werden. Nur wer das Kleingedruckte liest, erfährt, dass er mit diesem Anruf einen SMS-Premium-Dienst für 9,99 US-Dollar im Monat abonniert. Von einem Akku-Upgrade ist ferner keine Rede mehr. Kaspersky hat die Abofalle für die Android-Version der App nachgewiesen. Ob sie auch in iOS-Version vorhanden ist, ist unklar. Laut Kaspersky wurde das Spiel insgesamt weltweit 50 Millionen mal heruntergeladen. 8. Online-Verlag gehackt: IT-Medien vertrieben unwissentlich Malware Die Computec Media AG, Betreiber von Online-Medien, ist nach eigener Aussage Opfer eines Hackerangriffes geworden. Betroffen sind u.a die Websites pcgames.de, pcaction.de und gamezone.de. Eine vollständige Liste der betroffenen Websites wurde in einer Stellungnahme auf pcgames.de [http://www.pcgames.de/Computec-Media-AG-DE-Firma-15341/News/Hacker-Angriff-auf-unsere-Seiten-Malware-verteilt-Zugriff-auf-Daten-878294/] veröffentlicht. Dort heißt es auch, es sei Angreifern gelungen, Zugriff u.a. auf Downloads und Werbemittel zu bekommen. Diese wurden so modifiziert, dass sich Anwender darüber möglicherweise Schadsoftware, Keylogger und Trojaner heruntergeladen haben und ihr System infiziert wurde. Auch die Datenbanken und Server wurden möglicherweise manipuliert. Passwörter von Anwendern könnten so bei der Eingabe auf den gehackten Websites abgefangen oder durch den heruntergeladenen Keylogger aufgezeichnet worden sein. Anwender sollten deshalb, so empfiehlt es die Computec Media AG, umgehend ihr Passwort ändern, auch bei Diensten, bei denen das gleiche Passwort verwendet wird. In der Stellungnahme gibt das Medienunternehmen betroffenen Anwendern Tipps und Handlungsanweisungen, wie die Malware entfernt werden kann und welche Sicherheitsmaßnahmen zu ergreifen sind. SCHUTZMASSNAHMEN 9. Tools, um „Flashback“ zu entfernen: Anwender haben mehrere Möglichkeiten Der Flashback-Trojaner, der Hunderttausende Apple-PCs infiziert und zum Teil eines Botnetzes gemacht hat, treibt weiter sein Unwesen. Apple bietet Anwendern die Anwendung zur Beseitigung der Malware auf zwei Weisen an: 1. Das Tool wird zusammen mit Updates für Java für die Betriebssysteme Mac OS X Lion 2012-003 [http://support.apple.com/kb/DL1515?viewlocale=de_DE] und Mac OS X 10.6-Update 8 [http://support.apple.com/kb/DL1516?viewlocale=de_DE] ausgeliefert. 2. Das Tool ist für sich allein verfügbar [http://support.apple.com/kb/DL1517?viewlocale=de_DE]. Gedacht ist dies für Anwender, die kein Java installiert haben. Zudem bietet der Antivirensoftware-Hersteller F-Secure ein kostenloses Flashback- Entfernungstool [http://www.f-secure.com/weblog/archives/00002346.html] für Mac-Anwender an. 10. Sicherheitsupdate für WordPress: Sechs Schwachstellen werden beseitigt Die Blogging-Software WordPress ist in einer aktualisierten Version verfügbar. Mit Wordpress 3.3.2 [http://blog.wpde.org/] schließen die Entwickler sechs Sicherheitslücken. Laut zdnet.de [http://www.zdnet.de/news/41561799/wordpress-3-3-2-schliesst-sechs-sicherheitsluecken.htm] lagen einige der Schwachstellen in Bibliotheken, die unter anderem dem Hochladen und Einbetten von Mediendateien dienen. Zudem wurden zwei Lücken geschlossen, die Cross-Site-Scripting ermöglichten. Angreifer könnten hierdurch eigenen Javascript-Code in bestimmte WordPress-Seiten einschleusen. Detaillierte Informationen zu den behobenen Schwachstellen finden sich im Änderungsprotokoll [http://core.trac.wordpress.org/log/branches/3.3?rev=20552&stop_rev=20087]. Die aktuelle WordPress-Version kann von der deutschen WordPress-Seite heruntergeladen [http://de.wordpress.org/] werden. 11. Standard-PIN erlaubt Zugriff auf Netzwerke : Schwachstelle in WLAN-Routern Das BSI informiert in seiner Pressemitteilung über einen Fehler in der WPS-PIN-Methode [https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2012/Schwachstelle-in-WLAN-Routern_25042012.html] von WLAN-Routern. Betroffen sind mehrere von der Telekom vertriebener WLAN-Router. Nach Informationen der Telekom haben die WLAN-Router (Speedport W 504V, Speedport W 723 Typ B und Speedport W 921V) eine Schwachstelle, die den unautorisierten Zugriff auf interne Netzwerke ermöglicht. Der Grund ist ein Fehler in der WPS-PIN-Methode, die Nutzern eine vereinfachte Einrichtung ihres WLANs ermöglicht. Da in diesen Routern die gleiche WPS-PIN existiert, könnte ein Angreifer sich unautorisiert mit dem internen Netzwerk verbinden. Anschließend kann er über den Internet-Zugang im Internet surfen und auf die Dateien von Netzwerkfestplatten oder freigegebenen Ordnern zugreifen. Anwender der beiden WLAN-Router Speedport W 504V und Speedport W 723V Typ B sollten vorübergehend über die Konfigurations-Weboberfläche des Gerätes die WPS-Funktionalität deaktivieren. Bei dem Modell Speedport W 921V funktioniert diese Option nicht und auch das Ändern der PIN schließt die Lücke nicht. Deshalb können sich Betroffene momentan nur durch die Abschaltung des WLANs schützen und kabelgebunden ins Internet gehen. Um durch zukünftige Firmware-Updates geschützt zu werden, sollten Nutzer der entsprechenden Router sicherstellen, dass die Funktion automatischer Updates aktiviert ist. PRISMA 12. Trotz Warnung in die Falle getappt: Laut BGH-Urteil haften Bankkunden für Fahrlässigkeiten beim Online-Banking Opfer von Online-Banking-Betrug können nicht in jedem Fall auf die Rückerstattung der verlorenen Geldbeträge durch die Bank hoffen. Dies ist ein Fazit aus dem Urteil des Bundesgerichtshofs (BGH) vom 24. April 2012, das in einer Pressemeldung [http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2012&Sort=3&nr=60048&pos=0&anz=50] zusammengefasst wird. Verhandelt wurde der Fall eines Bankkunden, dessen Computer mit Malware infiziert wurde. Diese leitete den Anwender bei Aufruf des Online-Banking-Portals auf eine manipulierte Website in der Optik der Hausbank um. Das Programm forderte den Anwender auf, zehn Transaktionsnummern in ein Feld einzugeben. Mithilfe dieser TANs konnten sich die Angreifer 5000 Euro vom Anwenderkonto überweisen. Die Bank ist in diesem Fall nicht zur Erstattung des Verlustes verpflichtet. Sie hat Anwender im Log-in-Bereich der Online-Banking-Website ausdrücklich mit dem Hinweis gewarnt: „Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!“. Dem BGH zufolge habe der Kunde fahrlässig gehandelt: „Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat“. Der klagende Anwender habe damit keinen Anspruch auf Erstattung des verlorenen Geldes. Auf den Webseiten von BSI FUER BUERGER erhalten Anwender Hinweise zur sicheren Handhabung des Online-Bankings [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/onlinebanking_node.html] und zu Schutzprogrammen [https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/schutzprogramme_node.html], die vor Angriffen durch Cyberkriminelle schützen. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 26.04.2012 - | zum Seitenanfang |
|
|
Version 3.1 | Load: 0.003282 | S: 1_2 |