Malware sucht nach Facebook-Zugangsdaten

Der Sicherheitsanbieter Radware beschreibt in seinem Blog eine neu entdeckte Malware namens Stresspaint, die es auf die Facebook-Accounts ihrer Opfer abgesehen hat. Ihren Namen erhielt die Software von einem scheinbar harmlosen Windows-Malprogramm namens Relieve Stress Paint, das nach jedem Mausklick die Farbe und Länge von zuvor gezeichneten Linien ändert, und eine verborgene Schadsoftware mitbringt. Damit Anwender dieses Programm auf ihre Computer laden, verschickten die Malware-Autoren vermutlich Phishing-Mails. Darin wurde auf einen Download-Server verwiesen, bei dem es sich angeblich um die Domäne aol.net handelte. Tatsächlich war es jedoch eine Unicode-Domain.

Zur Erklärung: Seit 2003 ist es möglich, Domain-Namen etwa mit arabischen, chinesischen oder kyrillischen Buchstaben zu reservieren, so genannte International Domain Names (IDN). Der Browser wandelt sie beim Aufruf im Hintergrund in Punycode-Namen mit Ascii-Zeichen um. Hinter aol.net steckte daher tatsächlich eine Domäne mit der Bezeichnung xn--80a2a18a.net.

Sobald Relieve Stress Paint ausgeführt wird, startet im Hintergrund die Malware. Zunächst kopiert sie einige Dateien in einen Temp-Ordner und in Unterverzeichnisse des Chrome-Browsers, letztere werden nach Abschluss der Datenschnüffelei sofort wieder gelöscht. Sie legt auf dem Desktop einen Link zum Malprogramm an und ergänzt die Registry von Windows um zwei neue Schlüssel. Danach führt sie einen ersten Verbindungstest zu einem Instagram-Account aus, der eventuell für die Übermittlung von weiteren Befehlen dient. Schließlich durchsucht die Malware die Verzeichnisse mit den Cookies und Login-Daten von Chrome und kopiert die Facebook-Cookies sowie die Zugangsdaten für den Dienst verschlüsselt zu ihrem Command & Control-Server. Diese Aktionen werden bei jedem Aufruf des Malprogramms wiederholt.

Sobald sie die Zugangsdaten für den Facebook-Account ausprobiert hatte, schickt die Software weitere Daten an ihre Programmierer, darunter die jeweilige Zahl der Freunde, ob für den Account eine Facebook-Seite existiert und welche Bezahlmethode der Besitzer bevorzugt.

Für die Auswertung der übermittelten Daten verwendeten die Autoren ein chinesisches Content Management System, eine Open-Source-Software namens Layuicms 2.0. In den Auswertungs-Tabellen existierte neben der Sektion für die Facebook-Daten auch ein Bereich für das Management von Amazon-Konten. Offensichtlich planen oder planten die Autoren des Programms ihre Aktivitäten auf den Online-Händler auszuweiten.

Laut den Daten von Radware befiel Stresspaint vor allem Computer in Vietnam, Russland und Pakistan, dort wurden jeweils mehr als 2.000 Infektionen entdeckt. Auf deutschen Computern kamen bis Mitte April 757 Infektionen zusammen, in den USA 515.