Malware: Malprogramm soll Facebook-Login stehlen

Britta Niemann 11 Kommentare
Malware: Malprogramm soll Facebook-Login stehlen
Bild: Spyware | CC0 1.0

Eine als „Stressabbau-Malprogramm“ getarnte Malware hat es auf die Login-Daten von Facebook-Nutzern weltweit abgesehen. Dies geschieht vermutlich über Phishing-Mails, die einen Link auf fingierte Unicode-Domains enthalten. Weltweit sind bereits über 40.000 Nutzer betroffen.

Laut einer Untersuchung von der Sicherheitsfirma Radware wird die Malware unter dem Namen Relieve Stress Paint als Download angeboten. Insbesondere jene Facebook-Accounts, die eine eigene Seite im sozialen Netzwerk betreiben und dort Informationen zu Zahlungsmethoden hinterlegt haben, sollen im Fokus der Angreifer stehen. Während die Applikation zunächst gutartig aussieht und das beworbene Malprogramm tatsächlich funktioniert, wird im Hintergrund jedoch eine Stresspaint benannte Malware installiert, die aufgrund der schnellen Verbreitung und hohen Infizierungsrate von knapp 40.000 Nutzern innerhalb weniger Tage auf eine professionelle Entwicklung hinweist. Auch wenn bisher überwiegend Entwicklungs- und Schwellenländer betroffen sind, gibt es auch einige Infektionen in Deutschland.

Infektionsprozess über Unicode-Domain

Die Radware Threat Research Group vermutet, dass die Malware über Phishing-Mails oder auch Facebook selbst beworben wird. Den Empfängern wird vorgegaukelt, dass es sich um eine bekannte Webadresse wie etwa aol.net handelt, werden jedoch auf eine Unicode-Domain mit der tatsächlichen Adresse xn--80a2a18a.net geleitet. Diese Art des Angriffs ist auch unter dem Namen Punycode-Phishing bekannt.

Lokale Cookie-Kopien werden an Server übertragen

Das auf diese Weise heruntergeladene Malprogramm, das angeblich der Stressreduzierung diene, funktioniert tatsächlich, wobei mit jedem neuen Klick zufällig die Linienstärke und -farbe geändert werden. Im Hintergrund jedoch werden diverse Module geladen, die dazu führen, dass beim ersten Ausführen, jedem weiteren Öffnen des Malprogramms über die auf dem Desktop abgelegte Verknüpfung sowie nach jedem Neustart des Systems die Zugangsdaten und Inhalte weiterer von Facebook unter Googles Chrome-Browser abgelegten Cookies zunächst lokal an eine zusätzliche Stelle kopiert, ehe sie verschlüsselt an den Command-and-Control-Server der Angreifer gesendet werden. Haben diese dann Zugriff auf den Facebook-Account, werden dort noch weitere Daten – etwa die Anzahl der Freunde, ob eine Seite verwaltet wird, oder Informationen für Zahlungsmethoden hinterlegt sind – über vordefinierte Facebook-URLs abgegriffen.

Da der für den Angriff verantwortliche Prozess jeweils nur eine Minute aktiv ist, darüber hinaus nur Kopien der originalen Cookies und gespeicherten Passwörter versendet werden und es nur in Kombination mit Googles Chrome-Browser funktioniert, können Anti-Viren-Programme ausgetrickst werden.