Der Geldverdien-Trick der Spam-Mafia

Spam: Wie die Malware-Industrie mit Botnetzen bares Geld macht
Der Geldverdien-Trick der Spam-Mafia

Botnetze sind Computernetzwerke, die aus infizierten Computern – den so genannten Bots – bestehen. Sie können von den Cyberkriminellen vollständig per Remote-Kontrolle gesteuert werden. Dadurch sind sie in der Lage, DDoS-Attacken (Distributed Denial of Service) durchzuführen, massenhaft Spam-Mails zu versenden oder andere illegale Aktivitäten zu starten. Der rechtmäßige Besitzer eines ungeschützten Rechners weiß häufig gar nicht, dass der PC Teil eines Botnetzes geworden ist, da die illegalen Aktionen im Hintergrund laufen.

Die Botnetz-Betrüger haben meist das Ziel, möglichst große Botnetze zu betreiben, die hohe Erträge abwerfen. Daher suchen die Kriminellen nach Infektionswegen, mit denen sie möglichst schnell eine sehr große Anzahl an Rechnern infizieren können, immer mit dem Ziel einen größtmöglichen (illegalen) Gewinn zu erzielen. Dazu bedienen sich die Cyber-Betrüger eines ausgeklügelten Konzepts, um Botnetze aufbauen, die anschließend illegalen Zwecken dienen.

Spammer bewegen sich knapp unter dem Radar

Dazu verschicken die Betrüger E-Mails, die auf den ersten Blick wie ganz normale Spam-Mails aussehen. Die Nachrichten enthalten Hyperlinks auf zahlreiche legale Internetseiten. Obgleich die Domains in den Hyperlinks von E-Mail zu E-Mail variierten, zeigte sich bei einer Untersuchung in den Sicherheitslabors von Kaspersky Lab, dass der Pfad zu den Dateien auf den Servern stets derselbe war. Bei der näheren Analyse sahen die Experten, dass die untersuchten legalen Seiten, auf die die Spam-Mails verlinkten, den Benutzer auf die Webseiten von Spammern umleiteten. Spammer nutzen eine derartige Strategie, die ohne direkte Links zu den Spam-Seiten auskommt, häufig, um Spam-Filter auf den Anwender-PCs zu umgehen.

Kompromittierte, legalen Websites leiten ihre Opfer allerdings nicht nur auf Spammer-Seiten weiter, sondern auch auf gehackte Seiten mit so genannten Exploits, die die Sicherheitslücken in verschiedenen, populären Anwendungen nutzen, um beispielsweise den schädlichen Bot Backdoor.Win 32.Bredolab zu installieren.

Das Botprogramm verhindert, dass es beim Start in einem geschützten Sandbox-Modus entdeckt wird. Die Hacker können das Botprogramm ferngesteuert verwalten. Auf Kommando der Steuerzentrale lädt der Schädling einen Trojaner auf den infizierten Rechner, der dann das Passwort für den Zugang zu den FTP-Clients von Content-Management-Systemen stiehlt.

Nach einiger Zeit lädt der Computer-Schädling dann erneut Schadprogramme herunter, wie Programme zur Versundung von Spam, den Netzwerkwurm Koobface oder ein gefälschtes Antiviren-Programm.