Koobface-Server abgeschaltet

Ein britischer Internetprovider hat den Command-and-Control-Server des Social-Networking-Botnetzes Koobface vom Netz genommen, nachdem die Sicherheitsexperten der SecDev Group britische Ermittlungsbehörden über den Server informiert hatten. Die Abschaltung des Servers wird das Botnetz nur vorübergehend behindern, aus dem Spiel sind die Hintermänner von Koobface damit aber noch lange nicht und es ist nur eine Frage der Zeit, bis die Dronen auf einen neuen C&C umgeleitet werden.

Koobface (ein Anagramm von Facebook) ist dafür bekannt sich über soziale Netzwerke zu verbreiten.Dort verschickt er Links auf Webseiten, die den Computer mit Schadsoftware infizierensollen.

Worm:Win32/Koobface.gen!F
Net-Worm.Win32.Koobface.a, which attacks MySpace
Net-Worm.Win32.Koobface.b, which attacks Facebook
WORM_KOOBFACE.DC, which attacks Twitter
W32/Koobfa-Gen, which attacks Facebook, MySpace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog, Badoo and fubar
W32.Koobface.D

>>>allBots Inc.<<<



Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen. Obwohl jeder Klick nur einen minimalen Schaden verursacht, verdienen die Botnet Herder rund 2 Millionen US-Dollar pro Jahr.



Die Botnet Herder von Koobface versuchen, sich bewusst von den "bösen Trojanern" wie Zeus und Spy eye zu distanzieren: "Unsere Software hat niemals Kreditkarteniformationen, Bankzugangsdaten, Passwörter oder ähnliche vertrauliche Daten gestohlen. Und wird das auch nie tun" versicherten sie. Später sammelten sie dann aber doch mit hilfe des LdPinch Trojaners Passwörter für E-Mail-, Facebook- und IM-Accounts ein.



Das Geschäftsmodell von Koobface mit unzähligen winzigen Transaktionen schützt die Hintermänner vor allzu zielstrebiger Verfolgung.

Die Polizei und Staatsanwaltschaften tun sich jedoch recht schwer, konkrete Straftaten oder Schadensfälle auszumachen um den erforderlichen Ermittlungsaufwand für eine gezielte Verfolgung der Hintermänner zu rechtfertigen. Zudem läuft das Geschäft über Ländergrenzen hinweg, was zeitraubende und Amtshilfeersuchen erforderlich macht. "Daher ist es nicht überraschend, dass es im Fall von Koobface keine Strafverfolgung oder Festnahme gab".


Der Schlag gegen Koobface läuft bereits seit zwei Wochen auf mehreren Ebenen: Das SecDev-Team unter Nart Villeneuve informierte ISPs über kompromittierte FTP-Accounts und benannte gegenüber Facebook und Google insgesamt mehrere hunderttausend Accounts, die von Koobface betrieben werden. Das Ende des Botnetzes wird das aber nicht sein. "Solange die Hintermänner frei herumlaufen, wird Koobface weiter arbeiten".

Quellen:
Wikipedia Koobface
heisec.de
Koobface Inside a Crimeware Network (PDF)
The Real Face of Koobface (PDF)

15.11.2010 10:30 Uhr