F-Secure Labs: Gameover ZeuS attackiert neben CareerBuilder nun auch Monster

Die F-Secure Labs haben kürzlich eine neue Gameover ZeuS Konfigurationsdatei erhalten. Bei dieser neuen Datei fiel auf, dass nicht nur – wie bisher – die Daten der Nutzer der Jobbörse „CareerBuilder“ abgefangen werden sollten, sondern nun anscheinend die Funktionalität der Malware auf die Nutzer der Jobbörse „Monster“ ausgeweitet wurde.

Hier ein Screenshot der echten „hiring.monster.com“ Webseite:

Ein Rechner, der mit der Gameover ZeuS Malware infiziert ist, zeigt augenscheinlich dieselbe Seite an…mit Ausnahme eines überlagerten „Sign In“ Buttons…
F-Secure Labs ZeuS gefakte Monster Webseite
Gibt man seinen Benutzernamen und sein Passwort ein und klickt anschliessend auf den „Sign In“ Button, dann erscheinen die folgenden Sicherheitsfragen“. Und dieses Formular stammt NICHT von Monster, sondern es handelt sich um ein injiziertes Abfrageformular.
F-Secure Labs ZeuS falscher Monster Log In Sicherheitsfragenkatalog
Hier die vollständige Liste der möglcihen Fragen (deutsche Übersetzung der englischen Fragen):

F-Secure Labs ZeuS Attacke echte Monster Webseite

  • In welcher Stadt lebt ihr nächster Verwandter?
  • In welcher Stadt hatten Sie Ihre erste Arbeitsstelle?
  • In welcher Stadt haben Sie Ihren Lebenspartner / besten Freund das erste Mal getroffen?
  • In welcher Stadt haben sich Ihre Mutter und Ihr Vater das erste Mal getroffen?
  • Was sind die letzten 5 Ziffern Ihrer Führerscheinnummer?
  • Wie lautete der Vorname ihres ersten Freundes / Ihrer ersten Freundlin?
  • Wie war der Vorname Ihres ersten Vorgesetzten?
  • Wie lautete der Name Ihrer ersten Schule?
  • Wie lautete der Name Ihrer Schule, auf der Sie im Alter von 14 – 16 Jahren waren?
  • Wie lautete der Name der Strasse, in der Sie aufgewachsen sind?
  • Wie lautete der Name Ihrer besten Freundin / Ihres besten Freundes in der Kindheit?
  • Wie war die Hausnummer der ersten Hauses, in dem Sie aufgewachsen sind?
  • In welchem Monat und Jahr ist Ihr ältester Verwandter geboren?
  • Wann hat Ihr jüngster Verwandter Geburtstag?
  • In welchem Monat und an welchem Tag haben Sie Geburtstag?
  • Wie lautet der Name der Stadt, in der Sie geheiratet haben?
  • Was war das erste Musikkonzert, das Sie besucht haben?
  • Was war Ihr Lieblingsfach in der Schule?

Während der Beantwortung der Fragen wird ein „Cookie“ mit dem Namen „qasent“ generiert….

Personalverantwortliche von Unternehmen, die eine Webseiten-Account für die angesprochenen Jobbörsen haben, sollten bei einem geänderten Anmeldeverhalten an diesen Webseiten generell stutzig werden. Wenn der Account eventuell mit einem Bank-Account und/oder einem Ausgabenbudget verbunden ist….das ideale Ziel für Bankentrojaner!

Es wäre auch für die Betreiber dieser Jobbörsen von Vorteil, wenn Sie für die Anmeldung auf ein 2-Faktor Authentifizierungsverfahren wechseln würden….neben einer Änderung der Fragen…

Quelle: F-Secure Weblog – Autor: Mikko Suominen

Über F-Secure
Innovation, Zuverlässigkeit und Schnelligkeit – diese drei Qualitäten haben F-Secure seit der Gründung 1988 zu einem der führenden IT-Sicherheitsanbieter weltweit gemacht. Heute vertrauen sowohl Millionen Privatanwender als auch Unternehmen auf die mehrfach ausgezeichneten Lösungen von F-Secure. Der effektive Echtzeitschutz arbeitet zuverlässig und unbemerkt im Hintergrund und macht das vernetzte Leben von Computer- und Smartphone-Nutzern sicher und einfach.
 
Die Lösungen von F-Secure sind als Service-Abonnement über mehr als 200 Internet Service Provider und Mobilfunkbetreiber weltweit zu beziehen. Die umfangreichen Partnerschaften machen F-Secure zum Marktführer in diesem Bereich. Seit 1999 ist das Unternehmen an der Börse in Helsinki notiert. Seitdem wächst F-Secure schneller als viele andere börsennotierte Mitbewerber.
 
Ständig aktuelle Informationen über die neuesten Viren finden sich im Weblog des „F-Secure Antivirus Research Teams“ unter der Internetadresse www.f-secure.com/weblog.