Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Untersuchungsergebnisse zum ICEPOL-Trojaner

Die Cybercrime-Ermittler von Bitdefender (http://www.bitdefender.de) haben gemeinsam mit der rumänischen Polizei Festplatten-Images von Servern analysiert, die den ICEPOL Trojaner verteilten. Die Server wurden in Bukarest von der Polizei beschlagnahmt und geben interessante Einblicke in die Abläufe sowie „Erfolge“ des Schadprogramms.

 

Im untersuchten Zeitraum vom 1. Mai bis 26. September 2013 haben die Server 267.786 erfolgreiche Installationen von ICEPOL geloggt. Die drei am häufigsten betroffenen Länder waren die USA mit 42.409, Deutschland mit 31.709 und Italien mit 24.863 Fällen. Alleine in den USA verzeichneten die Logs einen Gesamtschaden von 32.176,78 so genannten Geldeinheiten. Die Ermittler vermuten, dass es sich hierbei um US-Dollar handelt. Der Gesamtschaden beträgt 158.376 Einheiten.

 

Der rumänische Server ist Teil eines großen Verteilsystems von Schadprogrammen, das möglicherweise aus Dutzenden ähnlichen Servern besteht. Diese sind pyramidenartig organisiert, wobei eine Anzahl an Partner-Servern mit einem C&C-Server verbunden ist, der sich für die Verteilung der Malware verantwortlich zeichnet. Die Einheit aus Rumänien kommunizierte ursprünglich mit einem C&C-Server aus den Niederlanden. Nachdem die Behörden diesen geschlossen hatten, wurde er nach Deutschland verlegt.

 

„Die Ergebnisse der Untersuchung von ICEPOL basieren auf der Zusammenarbeit mit verschiedenen Strafverfolgungsbehörden und Drittanbietern“, sagt der Leiter der Dienststelle gegen Cyberkriminalität der Rumänischen Nationalpolizei. „Trotz der komplexen Ermittlungen haben wir bislang sehr gute Resultate erzielt und wir werden weiterhin Cybercrime bekämpfen, obwohl eine fehlende Rechtsprechung in anderen Bereichen die Prozesse manchmal verlangsamt.“

 

Die analysierten Server besaßen zwei Hauptfunktionen:

1. Die Verteilung der Schadsoftware. Diese Ransomware verhinderte den Zugriff auf den Computer aufgrund angeblicher „Software-Piraterie“ oder „pornografischer Aktivitäten“. Um den Zugriff wieder zu erlangen, musste der Nutzer eine bestimmte Gebühr an die „Polizei“ bezahlen.

2. Eine Pay-per-Klick-Komponente. Diese leitete die Opfer von Porno-Webseiten auf infizierte Links mit Hilfe eines Traffic-Austausch-Mechanismus.

„Die kriminelle Unterwelt hat anscheinend Malware-Verteilungsnetze (MDNs) entwickelt, die sehr ähnlich wie legitime CDNs funktionieren, sogar bis hinunter zu Überweisungs- und Syndikats-Modellen zur Geldbeschaffung“, erklärt Catalin Cosoi, Chief Security Strategist bei Bitdefender.

 

Nachdem die Nutzer unwissentlich den ICEPOL Trojaner heruntergeladen hatten, erpresste er sie durch eine Botschaft in einer von 25 Sprachen. Sie stammte angeblich von der Polizei und beschuldigte die Opfer, urheberrechtlich geschütztes Material oder illegale Pornografie heruntergeladen zu haben. Anschließend sperrte er den Desktop und forderte eine Gebühr, um die Blockierung wieder aufzuheben.

 

Die Komponente xstats war für die Registrierung der Domains zur Malware-Verteilung verantwortlich. Sie erzeugte bei Bedarf Domain-Namen durch die Verknüpfung von vier Wörtern aus einem Wörterbuch, das 551 Begriffe zum Thema Pornografie enthielt. Die IP-Adresse des neuen Hosts wurde dann aus einer Liste von 45 einmaligen IP-Adressen ausgewählt.

 

Die Verteilungsmethode für die Malware lässt ein pyramidenförmiges Modell vermuten. Denn die analysierte Server-Komponente promox lud Dateien von einer anderen Domain herunter, aber funktionierte selbst als Malware-Download-Quelle für Sub-Server.

 

Das Pay-per-Klick-Modul tds leitete einfach den eingehenden Datenverkehr auf eine Liste von Domains weiter, vermutlich von zahlenden Werbekunden oder anderen Trojaner-Verteilerseiten. Der Traffic wurde gemäß einer von Administratoren konfigurierten Liste mit Filterregeln behandelt. Diese umfassten zum Beispiel Herkunftsland, Betriebssystem, Browsertyp oder maximal erlaubte Anzahl an Klicks. Ein Teil des Datenverkehrs stammte von einigen pornografischen Webseiten in einem so genannten Traffic-Austauschmodell.

Zurück