Das „Dream Coders Team“, wie sich die Programmierer des
Exploits-Baukastens selber nennen, hat eine neue Version von MPack „auf den
Markt gebracht“. 1.000 US-Dollar verlangt das Entwickler-Team für die
schädliche Applikation – 300 mehr als bei der letzten Version. Die
Preiserhöhung spiegelt das Interesse und die Nachfrage an solchen illegalen
Tools wieder.
Die 0.90-Version ist bereits die sechste von Panda Software entdeckte Version
des Baukastens. Beim Kauf von MPack garantieren die Programmierer, dass ihr
„Produkt“ noch von keiner Antiviren-Lösung erkannt wird. Ändert sich das,
können die Käufer für zwischen 50 und 150 US-Dollar Updates ihrer Exploits erhalten.
Im Preis inbegriffen ist ein Jahr technischer Support.
Die mit MPack individuell entwickelten Exploits werden von
Cyber-Kriminellen zum Ausnutzen von bekannten und unbekannten Sicherheitslücken
in verschiedenen Betriebssystemen eingesetzt. Dazu ruft der Hacker von ihm
ausgewählte Webseiten auf und fügt dort eine iframe* Referenz zu einem Server,
der MPack hostet, hinzu. Wiederholt er diesen Vorgang auf mehreren Seiten,
steigt die Wahrscheinlichkeit einer erfolgreichen Infektion. Untersuchungen der
PandaLabs haben bestätigt, dass aktuell über 350.000 solcher Websites aktiv
sind.
Der Infektionsprozess verläuft folgendermaßen: Der nichts ahnende Anwender
surft im Internet und ruft eine Website mit einem vom Hacker eingebundenen
iframe auf. MPack sucht dann auf dem Computer nach vorhandenen Schwachstellen,
lädt den entsprechenden Exploit aufs System und infiziert es. Neben den
individuellen Schadfunktionen, die jedes Exploit ausführt, haben alle auch eine
identische Funktion: Sie stellen eine Liste mit Rechner-Daten (Browser,
Betriebssystem, etc.) zusammen, die sie an verschiedene Server senden. Die
Panda Software Labore konnten bis dato 41 Server lokalisieren, auf denen die
gesammelten Statistiken gespeichert sind.
Um User überhaupt auf die manipulierten Seiten zu lotsen, verwenden die Hacker
mehrere Techniken:
– Social Engineering Spam mit Links zu den entsprechenden Webseiten
– Trick Domains (z.B. Gookle statt Google)
– Iframes auf Seiten, die häufig besucht werden
Die erste MPack-Version (0.33) wurde im Dezember 2006 in einem russischen Forum
entdeckt. Seitdem sind in regelmäßigen Abständen von ca. einem Monat neue
Versionen erschienen.
* Iframes werden zum Einbinden von Webdokumenten auf Webseiten genutzt
Na ich bin da wohl doch irgendwie zu blöd für…
Es gibt also Leute die Geld dafür ausgeben “Otto normal Internet Usern” zu schaden, ohne irgendeinen “sinnvollen” Nutzen zu haben? Selbst wenn diese manipulierten Seiten mit Werbung überfüllt sind, die 1000$ werden so doch nicht zusammenkommen.