Wurm nutzt Google, um sich um Facebook zu winden

Ein bösartiges Programm, das Ende Juli auf Facebook.com auftauchte, ist wieder aufgetaucht, diesmal auf den Webseiten von Google, um Sicherheitsfilter zu durchforsten.

Am Dienstag bemerkten Forscher des Unified-Threat-Management-Herstellers Fortinet, dass a Programm ähnlich dem Koobface Wurm hatte begonnen, die Google Reader und Picasa-Websites zu verbreiten. Bei dem Angriff hosten Kriminelle auf den Google-Seiten Bilder, die wie YouTube-Videos aussehen, in der Hoffnung, Opfer zum Herunterladen von bösartiger Trojaner-Software zu verleiten.

Hacker haben Koobface Ende Juli zunächst losgelassen, doch das Facebook-Sicherheitsteam bremste seine Verbreitung bald durch Blockierung des Webs Websites, die die bösartige Trojaner-Software hosten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Dies hat die Kriminellen dazu veranlasst, die Taktik zu ändern, so Guillaume Lovet, Senior Research Manager bei Fortinet. Bei dieser neuesten Attacke haben sie Dateien gehostet, die in Picasa und Google Reader als YouTube-Videos erscheinen, und sie über Facebook an Opfer geschickt.

Die Links erscheinen sicher, weil sie auf die Google.com-Websites gelangen, aber sobald das Opfer eintrifft Auf der Google Reader- oder Picasa-Seite wird er aufgefordert, auf ein Video oder einen Weblink zu klicken. Dem Opfer wird dann mitgeteilt, dass er eine spezielle Codec-Dekompressionssoftware herunterladen muss, um das Video anzusehen. Diese Software ist tatsächlich ein bösartiges Trojaner-Programm, das laut Facebook von den meisten Antivirus-Programmen blockiert wird.

Lovet glaubt, dass die Cyber-Kriminellen hinter Koobface ihre Facebook-Nachrichten absichtlich falsch geschrieben haben, um die Erkennung durch Filter zu umgehen.

"Sommebody lade ein Video mit dir auf utubee. Du schaltest es," liest eine Nachricht.

Lovet hat diesen letzten Angriff nicht mit dem selbst kopierenden Wurmcode gesehen, den Koobface letzten August benutzt hat, aber es könnte leicht hinzugefügt werden, sagte er.

Facebook arbeitet mit Google zusammen, um das Problem zu beenden, sagte Facebook-Sprecher Barry Schnitt.

Koobface ist seit Juli ein Top-Sicherheitsanliegen bei Facebook. "Es war ständig da draußen", sagte Schnitt, "aber es ist in letzter Zeit ein bisschen mehr aufgetaucht."

Die Schöpfer des Wurms haben andere Tricks benutzt, um zu versuchen, Facebook-Filter zu umgehen, fügte er hinzu. Sie haben Facebooks Instant-Messaging-Funktion genutzt und ihre bösartigen Links auch auf Websites wie Tinyurl.com und Bloglines gehostet.

Niemand weiß, wie verbreitet diese Malware wirklich ist, aber als Koobface zum ersten Mal auf der Bildfläche erschien, sagte Facebook, dass dies Auswirkungen hätte weniger als 0,02 Prozent der Nutzer. Facebook rühmt sich mehr als 110 Millionen Benutzer; 0,002 Prozent davon würden 220.000 Benutzer darstellen.

Sicherheitsexperten warnen lange davor, dass das Web 2.0-Mashup-Modell, bei dem Benutzer ihren eigenen Inhalt aus vielen verschiedenen Quellen zusammenstellen können, natürlich viele Sicherheitsprobleme verursacht. Dies ist zum Teil darauf zurückzuführen, dass jedermann Inhalte auf vertrauenswürdigen Domains wie Google.com veröffentlichen kann.

"Ich glaube, dass Sie mehr davon erleben werden", sagte Petko Petkov, ein Sicherheitsforscher bei GNUCitizen.

Mit Unternehmens-Intranets, die neue Technologien wie Blogging und Wikis einführen, glaubt Petkov, dass Unternehmensziele bald reif für Angriffe sein könnten. "Wenn Sie einen Wurm in einem Unternehmen haben, der auf Facebook genauso funktioniert wie der Wurm, haben Sie ein großes Problem."