Monatlicher RSA Online Betrugsreport: Malware Tools werden offen zum Verkauf im Internet angeboten

Die RSA Internet-Betrugserforschungsabteilung hat bei einer Untersuchung eines Zeus Trojaners Beispiels einen weiteren Malware-Angebotsserver von einem Onlinebetrüger entdeckt, über den ein ganzes Set von Spyware-Tools unter den “Hersteller-Namen” TampStore und Crown Softwares angeboten wird.

Der Online-Shop bietet eine ganze Reihe verschiedener Software-Pakete, die aus verschiedenen Sets von Tools bestehen, ganz offen als “legitimierte” Spyware an – mit netten bunten Verpackungsabbildungen in unterschiedlichen Farben für jedes Produkt. Diese Tools enthalten verschiedene Funktionen, die in vielen Regionen illegal sind und oft von Malware-Entwicklern dazu verwendet werden, Daten von infizierten PCs zu stehlen.

Auf dem Online-Shop werden die folgenden “Produkte” angeboten:

  • TampZusa: Eine Applikation zum Stehlen von Informationen und Bildern aus Browsern, Email Clients, Keyloggern, Bildschirm Captures, Webcams und Messaging Clients.
  • TampStealer:  Grundlegend dieselben Funktionalitäten wie TampZusa, aber mit einigen Zusatzfunktionen, die dem Paket hinzugefügt wurden (siehe Beschreibung am Ende dieser Auflistung).
  • TampKeylogger Classic: Ein Groß- und Kleinschreibungs-unterscheidender Keylogger (Aufzeichnung von Tastatureingaben), der auch die Titelanzeigen von Windows Fenstern aufzeichnen kann.
  • TampKeylogger Premium: Ein voll ausgestatteter Keylogger, der zudem alle Funktionen von TampStealer enthält.
  • TampSpammer: Eine Applikation, mit der sich grundlegende Massen-Mailing Spam Aktionen durchführen lassen

Von den ganzen oben aufgelisteten Produkten scheint TampStealer das umfangreichste Paket an Spyware Tools zu sein. Diese Funktionsliste von TampStealer wird im Online Shop beworben:

  • Keylogger mit Unterscheidung von Groß- und Kleinschreibung (zeichnet Tastatureingaben auf)
  • Bildschirmdruck-Stealer (fertig Screenshots von Bildschirmanzeigen an)
  • Webcam Stealer (aktiviert / kopiert die Bilder von Webcams auf infizierten Geräten)
  • Browser Passwort Stealer für Opera, Chrome, Firefox, Safari, Internet Explorer und Netscape (klaut gespeicherte Passwörter aus den gängigen Browsern)
  • Avira Firewall Bypass (tarnt TampStealer vor einer Avira Firewall Lösung, damit die geraubten Daten unbemerkt versendet werden können)
  • Massen-Email-Versender
  • Im Hintergrund agierender Datei-Downloader (kann Dateien unbemerkt im Hintergrund auf ein infiziertes System laden)
  • Remote Administration für mehrere “Clients” (damit kann man mehrere mit TampStealer infinzierte Geräte bequem zentral “verwalten”)
  • Log Dateien an FTP oder PHP versenden (PHP Logger ist ebenfalls im Paket enthalten)
  • FileZilla Stealer (stiehlt Daten / Zugangsdaten aus FileZilla)
  • Stealer für die folgenden Email Clients – Outlook, Windows Mail, Eudora, IncrediMail, NetScape  (raubt Informationen aus den gängigsten Email Applikationen)
  • PidGin Stealer (ein spezieller Messaging Client)
  • Icon Änderungsapplikation – einschließlich eines Icon Paketes

Der Betrüger scheint keinerlei Scheu hinsichtlich der Bewerbung seiner “Waren” zu zeigen: Es lassen sich “Werbeanzeigen” für diese “Waren” auf Facebook finden und der Betrüger hat auch diverse Email-Adressen zur Kontaktaufnahme in verschiedenen Foren und auf öffentlichen Webseiten von sozialen Webseiten hinterlegt. RSA hat zudem eine ganze Reihe von Einträgen von dem Betrüger in einem rumänischen Computer Hacker Forum gefunden. Zudem bietet sie/er seine Programmierfähigkeiten zum Mieten in einem Programmierforum an.

Bei der weiteren Untersuchung der Administrationsoberfläche und der Log Dateien der TampStealer Applikation hat RSA diverse Aufzeichnung von gestohlenen LogIn Daten entdeckt. Eine Log Datei der TampStealer Applikation enthielt mehr als 8.145 gestohlene Log-In Daten (siehe die folgende Abbildung):

Zusammenfassung
Das öffentliche Anbieten von Cybercrime Software Tools zum Verkauf ist nichts Neues. Das öffentliche Bewerben dieser Tools im Web und auf Social Networking Webseiten wie Facebook ist allerdings sehr ungewöhnlich. Dieser spezielle Software Tool Autor scheint auch keine Angst oder Befürchtungen zu haben, seine Software oder Email Adressen der Öffentlichkeit preiszugeben. Dieses Verhalten entspricht nicht dem generellen Trend solche Cyberkriminalitätsaktivitäten eher im Untergrund durchzuführen, wie RSA es die letzten beiden Jahre beobachten konnte.

Die wichtigsten Kennzahlen für den Mai 2014 – Quelle: RSA Anti-Fraud Command Center

RSA Online Fraud Report Mai 2014 - Phishing Attacken pro MonatPhishing Attacken pro Monat

RSA konnte im April 2014 52.554 Phishing Attacken beobachten. Dies entspricht einer 24%igen Zunahme gegenüber den Zahlen aus dem Monat März 2014. Basierend auf diesen Zahlen geht RSA davon aus, dass Phishing Aktivitäten den Unternehmen weltweit eine Schaden von 448 Millionen US$ im April 2014 verursacht haben.

RSA Online Fraud Report Mai 2014 - Angegriffene US BankenAngegriffene US-Banken

Obwohl die Banken, die in allen US-Bundes-staaten aktiv sind, mit 58% immer noch das größte Ziel aller Phishing Attacken waren, so ist erneut eine Zunahme bei den Phishing Aktivitäten gegen kleinere, nur in einem oder wenigen US-Bundesstaaten aktiven Banken im April 2014 zu beobachten.

RSA Online Fraud Report Mai 2014 - Die Länder, die am stärksten angegriffen wurdenDie Länder, die am stärksten angegriffen wurden

Die USA bleibt das weltweit am meisten angegriffene Land mit über 76% aller weltweiten Phishing Attacken, gefolgt von Großbritannien, den Niederlanden und Südafrika.

RSA Online Fraud Report Mai 2014 - Länder, deren Marken am Häufigsten für Phishing Attacken missbraucht wurdenDie Länder, aus denen die meisten Marken für Phishing Attacken miss- braucht wurden

Über 50% der Phishing Attacken im April 2014 miss- brauchten bekannten Marken aus den USA, Großbritannien, Indien, Italien und Kanada.

RSA Online Fraud Report Mai 2014 - Länder, die die meisten Phishing Attacken hostenDie Länder, über die die meisten Phishing Attacken gehostet werden

In den USA wurden 34% aller weltweiten Phishing Attacken im April 2014 gehostet – gefolgt von Deutschland, den Niederlanden und Italien.

RSA Online Fraud Report Mai 2014 - Q1 2014 Mobile Transaktionen und BetrugsfälleMobile Trans-aktionen und Betrugsfälle im ersten Quartal 2014

Im ersten Quartal 2014 wurden 33% aller Trans-aktionen im Banken- umfeld über mobile Kanäle durchgeführt. Betrachtet man sämtliche Transaktionen, dann wurden 2 Prozent aller entdeckten Betrugsfälle über mobile Geräte durchgeführt.

 

RSA Online Fraud Report Mai 2014 - TampStealer gestohlene Account Daten

 

 

Quelle: RSA Online Fraud Report Mai 2014