Türkisches Botnetz Filmkan infiziert Rechner von Facebook-Nutzern

MarketingSicherheitSoziale NetzwerkeVirus
Botnet (Bild: Shutterstock / Gunnar Assmy)

Dem IT-Security-Unternehmen Palo Alto Networks zufolge wird ein Viren-Dropper auf das System des Nutzers gespielt, wenn dieser auf einen Link zu einem vermeintlich pornografischen Video klickt und ein angebliches Update für den Flash Player herunterlädt. Der Sicherheitsanbieter rät generell, gegenüber solchen Update-Meldungen misstrauisch zu sein.

Palo Alto Networks hat neue Erkenntnisse über ein “Filmkan” genanntes türkisches Botnetz gewinnen können. Erstmals berichtet der Malware-Spezialist Mohammad Faghani am 31. Januar über ein Schadprogramm, welches sich über einen auf Facebook geposteten Link zu einem vermeintlich pornografischen Video verbreitet. Faghani schätzte damals – basierend auf der Anzahl der “Likes” -, dass Rechner von mehr als 100.000 Nutzern durch “Filmkan” infiziert wurden. Der Name des Botnetzes basiert auf den Domains der Befehlsserver (Command-and-Control-Server), die das Botnetz nutzt.

Palo Alto Networks Logo (Bild: Palo Alto Networks)

“Vieles deutet darauf hin, dass diese Malware von einem türkischen Akteur erstellt wurde. Die Malware enthält viele Kommentare auf Türkisch. Die Domains, die für Command‐and‐Control‐Zwecke genutzt werden, sind durch ein türkisches Unternehmen registriert und die an dem Angriff beteiligten Profile in Sozialen Netzwerken stammen ebenfalls aus der Türkei”, berichtet Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.

“Filmkan ist sehr flexibel, wodurch mehr Möglichkeiten als eine einfache Interaktion mit sozialen Netzwerken bestehen. Die Motivation hinter diesem Angriff ist nicht erkennbar, aber dem Autor von Filmkan ist es gelungen, innerhalb kürzester Zeit ein großes Botnet aufzubauen”, führt Henning weiter aus. Palo Alto Networks hat nach eigenen Angaben inzwischen 44 unterschiedliche Malware-Muster gesammelt, was es dem Security-Anbieter nun offenbar ermöglicht hat, detaillierter auf die Funktionalität des Botnetzes einzugehen. Demnach besteht es aus insgesamt vier Komponenten.

Hauptbestandteil von Filmkan ist ein sogenannter Windows Executable Dropper, der mithilfe des Automatisierungstools AutoHotKey (AHK) erstellt wurde und die Erstinstallation sowie die Aktualisierung der Malware übernimmt. Die eingesetzten AHK-Skripte werden als ausführbare Binärdateien kompiliert und lassen sich Palo Alto Networks zufolge somit auf jedes Windows-System portieren.

Des Weiteren kommt das Kommandozeilenwerkzeug wget for Windows zum Einsatz, das den für die Erstellung der schädlichen AHK-Skripte erforderlichen dynamischen Javascript-Code vom Kommandoserver der Angreifer herunterlädt. Eine Browser-Erweiterung für Chrome integriert schließlich die restliche Funktionalität des Botnetzes.

Laut Palo Alto Networks tritt die Erstinfektion durch den Viren-Dropper auf, sobald der Nutzer auf den Link zum vermeintlich pornografischen Video klickt und auf Aufforderung ein Update für den Flash Player herunterlädt. Der Anschein einer legitimen Aktualisierung werde dabei durch den Einsatz eines entsprechenden Flash-Icons erweckt.

Die genannten AHK-Skripte prüften zunächst, ob Chrome auf dem System installiert ist. Andernfalls spielten sie es automatisch auf den Rechner des Nutzers. Im Anschluss werde die mittels AutoHotKey erstellte Dropper-Binärdatei unter der Bezichnung “chromium.exe” ins Anwendungsdatenverzeichnis kopiert. Das Aufsetzen eines Run Keys in der Systemdatenbank von Windows (Registry) sorge dafür, dass der Dropper bei jedem Betriebssystemstart automatisch ausgeführt wird.

Das Botnetz Filmkan infiziert Rechner von Facebook-Nutzern (Bild: Shutterstock / Gunnar Assmy)

Anschließend werde die wget-Anwendung aus der Binärdatei heraus installiert, um daraufhin einen der drei Kommandoserver des Botnetzes auf aktualisierte, ausführbare Dateien zu überprüfen und diese bei Bedarf herunterzuladen. Zuletzt werde noch das Chrome-Plug-in installiert, damit der Filmkan Dropper von den Befehlsservern schadhaften JavaScript-Code abrufen und ihn als Datei “bg.txt” in Form eines “Hintergrund”-Skriptes im Browser speichern kann. Das Skript wird Palo Alto Networks zufolge mit jedem Start einer Browser-Sitzung ausgeführt und lässt sich durch die Angreifer jederzeit dynamisch anpassen.

Die Chrome-Erweiterung enthalte wiederum insgesamt drei Hauptfunktionen. Einerseits schließe das Plug-in jede Registerkarte bestimmter URLs, die der Nutzer öffnen will, womit verhindert werden soll, dass es entdeckt oder entfernt wird. Andererseits lade die Erweiterung eine Reihe von JSON‐Daten herunter und verwende die Informationen als eine Art schwarze Liste, um das Laden bestimmter Web-Adressen zu verhindern. Das Blockieren von Antiviren‐ und sicherheitsrelevanten Domains ist laut Palo Alto Networks eine gängige Taktik, die Malware‐Autoren nutzen, um Anwender daran zu hindern, eine Malware-Infektion zu entfernen. Die dritte Hauptfunktion des Plug-ins sei schließlich das bereits erwähnte Herunterladen und Ausführen von JavaScript-Code.

“Filmkan nutzt keine Software‐Schwachstellen aus, sondern hat sich bisher auf Social Engineering beschränkt, um Benutzer zu infizieren. Benutzer sollten misstrauisch gegenüber jeder Meldung sein, dass ein Update für Flash in Google Chrome verfügbar ist, da Chrome eine integrierte Flash‐Runtime enthält, die von Google aktualisiert wird”, so Henning. Außerdem sollten Unternehmen die Domains .com und .net blockieren, um zu verhindern, dass Filmkan Updates vom Angreifer empfangen kann. Diese Domains seien die Hauptschwäche von Filmkan, da eine gleichzeitige Sperre dem Angreifer den Zugriff auf das Botnetz verwehrt.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen