Verseuchter CCleaner mit doppelter Hintertür

In der 32-Bit-Variante des Säuberungs- und Optimierungswerkzeugs CCleaner in Version 5.33.6162 und der Cloud-Version 1.07.3191 steckt laut Hersteller Piriform eine zweistufige Backdoor, die Hackern bis vor ein paar Tagen die Ausführung von Code aus der Ferne erlaubte.

Diese nicht autorisierte Modifikation des Programmcodes sei direkt auf den Servern des Herstellers Piriform erfolgt und von dort aus erstmalig am 15. August (5.33.6162) bzw. am 24. August (Cloud-Version 1.07.3191) an die Benutzer von CCleaner verteilt worden. Erst am vergangenen Dienstag, dem 12. September, habe der Hersteller durch den verdächtigen Netzwerk-Traffic die Modifikationen entdeckt.

Die Gefahr ist inzwischen gebannt

Hersteller Piriform hält die Gefahr inzwischen für gebannt. Der von den Angreifern als Kommandozentrale genutzte Server sei inzwischen offline und auch weitere potenzielle Angriffsserver seien nun außerhalb der Kontrolle der Angreifer.

Trotzdem wird CCleaner-Nutzern dringend empfohlen, so schnell wie möglich auf die aktuelle Version 5.34 upzudaten. Die Cloud-Version wurde schon am 15. September durch einen automatischen Update gesäubert. Wer letztlich hinter der Kompromittierung der Server steckt, ist bis jetzt noch nicht ganz klar. Piriform hat diesbezüglich inzwischen auch Strafanzeige gestellt.

Die Malware sammelte heimlich Informationen

Nach Piriforms Analysen verbarg sich der verschlüsselte Schadcode in der Initialisierungsroutine des CCleaner-Programms. Beim Start der Programmausführung wurde daraus eine DLL extrahiert, die dann in einem eigenen Thread im Kontext von CCleaner lief.

Diese Schadroutine sammelte Informationen wie zum Beispiel Computernamen, installierte Software, laufende Prozesse, MAC-Adressen und Admin-Privilegien und verschickte diese an einen entfernten Command-and-Control (CC)-Server.

Offenbar war dieser Server auch in der Lage, eine weitere Payload durch seine Backdoor auf den betroffenen Rechner einzuschleusen, heißt es von Piriform. Dabei habe das Piriform-Team aber keine einzige Ausführung dieser Huckepack-Malware beobachten können und nannte deren erfolgreiche Aktivierung „höchst unwahrscheinlich“.

Die Strategie erinnert an NotPetya

Das Vorgehen der Angreifer, Server des Herstellers zu kompromittieren, um Code zu modifizieren und ihn dann anschließend als Update bequem an alle Nutzer verteilen zu lassen, erinnert doch sehr an die von der Ukraine ausgehende Verbreitung des Schädlings NotPetya.

Die Täter hatten vor drei Monaten ein Modul der in der Ukraine beliebten Steuersoftware MeDoc um Backdoor-Funktionen ergänzt, um es anschließend über die Update-Funktion der Software zu verbreiten.

Veröffentlicht unter Internet, News, Programmierung, Sicherheit, Tipps und Tricks | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Malware Spam: Email vom Kollegen

Eine aktuell laufende Spam-Kampagne kommt daher wie ein Paradebeispiel in Sachen Social Engineering – und bringt bis dato kaum bekannte Malware auch auf die Rechner von eigentlich versierten Empfängern, die dem Spam die „Email vom Kollegen“ abnehmen…

Diese Attacke setzt auf starke Personalisierung

Als Absender täuscht die Phishing-Mail reale Emailadressen von Mitarbeitern derselben Firma vor. Neben Emails mit ziemlich nichtssagender Betreffzeile wie zum Beispiel „Scan 28923323236“ beinhalten einige der versandten Betreffzeilen zusätzlich den Namen des Empfängers der Email, beispielsweise so: „WG: gescanntes Dokument 161219481113 [Empfänger]“.

Die Spam-Email sieht wie von einem Kollegen aus

Achtung: Aktuelle Spam-Kampagne fälscht Absender von MitarbeiternDer Text dieser Emails enthält einen Link, hinter dem sich je nach Variante ein vermeintlicher Überweisungsbeleg oder aber ein Dokument mit angeblich vom Empfänger angeforderten Informationen verbirgt.

Wegen der bekannten Absenderadresse ist die Gefahr durchaus hoch, dass sich auch ein sicherheitsbewusster Empfänger zum „reflexhaften“ Anklicken verleiten lassen könnte.

Download und Ausführung des Schadcodes

Auf der Landingpage (Zielseite) wartet dann ein Word-Dokument mit der Bezeichnung Rechnungs-Details-201019471223.doc auf seinen Download und seine Ausführung, wobei der Name durchaus abweichend sein kann.

Die Erkennungsrate für diese trickreichen Versuche, via Social Engineering Zugang zu bekommen, liegt beim Online-Scandienst VirusTotal für den Download-Link zurzeit noch bei Null. Nur wegen der Word-Datei schlägt ausschließlich Symantec Alarm.

Vorgebliche Rechnung beinhaltet schädlichen Makro-Code

Ein Online-Scan des angeblichen Rechnungsdokuments auf malwr.com gibt interessante Screenshots von dessen Funktionalität zurück. In englischer Sprache wird der Empfänger aufgefordert, durch zwei Klicks auf gelbe Schaltflächen die Bearbeitung des Dokuments und auch die Ausführung eingebetteter Inhalte zu gestatten( „Enable Editing“/“Enable Content“).

PC mit Protec’tor besser schützen

Wer seinen Rechner gegen diesen und ähnliche geartete Angriffe abhärten möchte, kann dies mit dem kostenlosen Tool Protec’tor der Computerzeitschrift c’t, das auf den Vorarbeiten von Security Without Borders basiert, mit ein paar Mausklicks tun.

Veröffentlicht unter Internet, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Foto: Unter den Linden in Lüdinghausen

Es ist nicht Berlin, sondern Lüdinghausen – aber die Lindenbäume an der Kirche St. Felizitas in unserem kleinen Münsterlandstädtchen stehen den Berliner Linden kaum nach.

Dies Foto habe ich vor 20 Minuten auf dem Rückweg von der Post zum Lüdinghauser Marktplatz gemacht. Solche Upskirt-Fotos von hohen Bäumen gefallen mir immer besser, so dass dieses Bild wohl nicht wirklich das letzte seiner Art gewesen sein dürfte.

Foto: Klaus Ahrens, Smartphone Huawei P8, CC BY-SA 4.0

Veröffentlicht unter Fotografie, Mobilgeräte, Soziales | Verschlagwortet mit , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Neues Autoplay bei Google-Browser Chrome

Die Programmierer von Googles Browser Chrome haben jetzt in ihrem Blog angekündigt, dass Chrome 64 die Autoplay-Funktion standardmäßig abschalten wird. Internetseiten können dann nur noch solche Videos automatisch starten, deren Ton nicht auch automatisch wiedergegeben wird.

Speziell bei nervender Werbung werden das wohl viele der Benutzer als Erleichterung betrachten. Schon seit längerer Zeit bieten viele Browser die Option, den Ton über ein Icon im Tab einer Webseite auszuschalten.

Natürlich kann das automatische Starten von Bild und Ton bei manchen Sites auch erwünscht sein, zum Beispiel auf  Videoportalen wie Youtube. Deshalb können die Anwender in den Einstellungen einer geöffneten Seite selbst festlegen, wie die Autoplay-Sperre arbeiten soll. Der Sound wird auch dann immer freigegeben, wenn man die Seite bei mobilen Geräten auf den Homescreen legt.

Es kommt auch noch eine Automatik dazu: Hat der Anwender öfter Videos von einer Seite manuell gestartet, wird Autoplay für diese Seite auch freigeschaltet. Das gilt nach einer weitergehenden Beschreibung von Google aber nicht automatisch für iFrames, eine Technik, die häufig für Werbung eingesetzt wird. Die Entwickler erklären dazu, die Seitenbetreiber könnten das aber auch freischalten. Das heißt dann im Klartext: Wenn also auch mit Chrome 64 Werbung immer automatisch mit Ton abgespielt wird, ist das von den Webentwicklern dieser Internetseite so vorgesehen.

Die Änderungen sollen mit der Version 64 von Chrome eingeführt werden, die im Januar 2018 erscheinen soll. Wegen der weitreichenden Auswirkungen eines veränderten Autoplay auf die Webwirtschaft kündigt Google das alles schon jetzt an. Schon mit Chrome 63 sollen die Anwender die Möglichkeit bekommen, die Tonausgabe gezielt bei einzelnen Webseiten zu sperren.

Veröffentlicht unter Browser, Internet, News | Hinterlasse einen Kommentar

Kinderflohmarkt in den Straßen von Lüdinghausen

Wie immer zum Stadtfest-Sonntag wurde ich heute Morgen schon um 5 Uhr aus dem Schlaf gerissen: Unter meinem Fenster zur Münsterstraße wurden die Verkaufsstände des Kinderflohmarktes aufgebaut. Zum Glück musste diesmal niemand seine Bongos testen wie beim Kinderflohmarkt 2015.

An der Belegung der Freifunk-Knoten in der Innenstadt kann man übrigens recht gut sehen, wo die meisten Menschen mit Smartphones unterwegs sind, und die Route für den Flohmarktbummel entsprechend planen.

Diese kleine Verkäuferin ist übrigens meine Enkelin Juliana, die zusammen mit Silvia die Angebote ansprechend drapiert. Sie hat den Verkauf schon fast zu gut drauf und kennt dabei keine Verwandten – eine wichtige Voraussetzung für das Überleben in einer immer härter werdenden Gesellschaft. Leider hat mir die Süße aber auch den Opa-Rabatt gestrichen. 😉

Veröffentlicht unter Allgemeines, Fotografie, Internet, Lokales, Mobilgeräte, Soziales, Wirtschaft | Verschlagwortet mit , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Pokémon-Go-Event: Monster im Centro Oberhausen

Als ich das letzte Mal im Centro in Oberhausen Sport getrieben habe, lief dort im Juni 2005 die German Open im Kickern (Tischfußball). Ich war mit meinem Partner Dino Hasanbegovic zum Offenen Doppel angemeldet, aber leider hat uns im fünften Spiel eine Truppe aus Essen, eigentlich unsere wohlbekannten Sparringspartner, vom Tisch gefegt.

Fußkappe für HolzfigurenEs war wohl nicht unser Tag – aber wenigstens haben wir uns ein Spiel länger gehalten als bei den Westfälischen Meisterschaften im Jahr davor im Sauerland.

Das Pokémon Go Event „Safari Zone“

An diesem Wochenende gibt es wieder großen Sport im Centro: Der Einkaufspalast wurde zur Safari-Zone für Pokémon-Go-Jünger. Seltene Pokémon überschwemmten das Oberhausener Einkaufszentrum und die nähere Umgebung in Massen – ein echtes Fest für den echten Fan.

Und – oh Wunder bei Niantic-Veranstaltungen – die Server liefen ohne nennenswerte Störungen durch.

So mancher Spielwillige ging leer aus

Als letzte Woche die Registrierungsseite für das erste offizielle Pokémon-Event in Deutschland im Internet online ging, waren schnell alle Plätze vergeben. Die 4000 Tickets waren in 90 Sekunden vertickt.

Es gab leider deutlich weniger Tickets als Interessenten, die seltene Pokémon jagen wollten – deshalb auch der Event-Name Safari-Zone. Obwohl das Einkaufszentrum Centro als Niantics Event-Partner recht umgehend noch einmal 250 weitere Tickets unter den Inhabern seines Treue-Programms verloste, gingen doch sehr viele Interessierte leer aus.

Einen ausführlichen Bericht von dem Event in Oberhausen finden Sie bei Spiegel Online.

Veröffentlicht unter Allgemeines, News, Soziales | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Krypto-Mining in fremden Browsern

Die zum Mining von Bitcoins und Co. nötige CPU-Leistung mit Hilfe von Malware von fremden Rechnern zu beziehen, ist eine schon lange bewährte Strategie. Zurzeit verlegt eine Malvertising-Kampagne im osteuropäischen Raum das Mining mit JavaScript direkt in den Webbrowser der Besucher von entsprechenden Internetseiten.

Im Rahmen dieser Kampagne nutzen Cyberkriminelle JavaScript, um damit Kryptowährungen wie Bitcoin oder Ethereum in den Browsern von Seitenbesuchern zu minen. Der Code der aktuellen Kampagne könne laut Sicherheitshersteller ESET zum Mining der Kryptowährungen Feathercoin, Monero und Litecoin verwendet werden; allerdings sei für letztere zum Zeitpunkt der Analyse kein Wallet festgelegt gewesen.

Werbeanzeigen und entsprechend kompromittierte Internetseiten

Zum Platzieren des Schadcodes missbrauchen die Performance-Räuber nach Angaben von ESET sowohl legitim eingekaufte Werbeflächen als auch kompromittierte Internetseiten. ESET entdeckte den Mining-Code nach eigenen Angaben erstmals vor ein paar Monaten. Betroffen sollen vor allem russisch- und ukrainischsprachige Internetseiten sein.

Das Besondere an diesem Fund sei die Tatsache, dass hier nicht wie sonst üblich Malware auf Rechnern installiert werde, um im Hintergrund CPU-Zeit fürs Mining abzugreifen. Hier setzten die Angreifer auf Websites mit genug Traffic darauf, um das Mining direkt in den Webbrowsern der Besucher durchzuführen.

Die Bündelung von Ressourcen auf so einer stark besuchten Seite gleiche das Performance-Defizit aus, das die JavaScript-Nutzung gegenüber schnellem, nativem Programmcode mit sich bringe. Bevorzugt geschehe dieser Missbrauch auf Seiten mit Video-Streams und Browser-Games, denn dort hielten sich Besucher relativ lange auf und würden auch wegen der höheren CPU-Auslastung nicht so schnell misstrauisch.

Der von ESET entdeckte, in Teilen auch obfuskierte JavaScript-Code werde beim Malvertising häufig erst nach mehreren unsichtbaren Weiterleitungen zusammen mit den Werbeanzeigen aufgerufen.

Vergleich mit älterem Miner-Code

Die Internetrecherchen des ESET-Teams nach einer hardgecodeten Feathercoin-Wallet-Adresse im JavaScript-Code  führten zu einem Mining-Script mit der Bezeichnung „MineCrunch“. MineCrunch soll eine ältere Variante des aktuellen Codes sein, die schon Ende 2014 in einem Kryptowährungs-Forum zum Kauf angeboten wurde.

Das gerade laufende Revival dieser Vorgehensweise bietet Geschädigten im Vergleich zu lokal installierter Malware den „Vorteil“, dass sich der Missbrauch von Rechenleistung zum Beispiel mit Hilfe eines Adblockers leicht abwehren lässt.

Außerdem liegt nach dem Verlassen der präparierten Seite keinerlei Infektion im klassischen Sinne mehr vor, so dass auch eine umfassende Bereinigung des Computers nicht nötig wird.

Veröffentlicht unter Internet | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Der anonyme Domainhoster Njalla

Wenn man anonym eine Domain betreiben will, kann dafür sogenannte Domain-Proxies benutzen. Diese Dienstleistung bieten viele kommerzielle Domainhoster gegen Bezahlung an und lassen sich dafür an Stelle der wirklichen Domainbesitzer selbst in das WHOIS-Register eintragen. Allerdings schützt diese Maßnahme laut The Pirate Bay-Mitgründer Peter Sunde hauptsächlich gegen Spam und sei kein echter Schutz der Privatsphäre.

Sunde will jetzt in Sachen Privacy einen Schritt weitergehen. Der von ihm angekündigte Dienst Njalla kauft die Domains im Auftrag seiner Kunden und bleibt auch der Eigentümer.

Die volle Verfügungsgewalt über die Nutzung der Domain wird den potentiellen Kunden dann mit einen zusätzlichen Nutzungsvertrag zugesichert.

Der Name ist Programm: Eine Njalla-Hütte soll Menschen oder Lebensmittel vor Bären schützen, weshalb man sie auch Bear Pole nennt. Besonders, wenn der „Stiel“ durch Metallverkleidung oder andere Maßnahmen zu glatt zum Hinaufklettern ist, entfaltet der Schutzbau seine volle Wirkung.

Dazu schreibt Njalla-Gründer Sunde: „Wir sind ein freundlicher, betrunkener (aber verantwortungsvoll betrunkener) Strohmann, der die Schuld für deine Äußerungen auf sich nimmt.“

Die genannten Preise für die Nutzung dieses „Anonymizers“ liegen zwischen 15 und 75 Euro pro Jahr, wobei aber .de-Domains offenbar nicht angeboten werden . Das Unternehmen Njalla ist unter dem Namen 1337 LLC auf der Karibikinsel Nevis registriert.

Domains können problemlos umziehen

Es soll für Njalla-Kunden jederzeit ohne Probleme möglich sein, eine solche Domain zu einem anderen Anbieter umziehen zu lassen. Bietet dieser auch einen Whois-Schutz an, bleibt der Name der Eigentümer auch bei dem Transfer anonym, denn als Vorbesitzer taucht nur Njalla auf. Bisher müssen Domaininhaber beim Transfer für kurze Zeit ihre Identität offen legen, wie vor Kurzem beim Domaintransfer der rechtsextremen Webseite The Daily Stomer zu sehen war.

In der Vergangenheit wurden immer wieder Domains beschlagnahmt, beispielsweise bei Urheberrechtsverletzungen. Nach dem Terroranschlag von Charlottesville in den USA hatten aber auch einige Dienste in den USA den Betreibern nationalistischer Webseiten und Dienste gekündigt und damit eine Diskussion um die Verantwortung entsprechender Anbieter ausgelöst. Denn hier muss man sich schon fragen, ob das nicht eher aus PR-Gründen, als aus innerer Überzeugung gemacht wurde.

Abhängig von der gewünschten Nutzung braucht man allerdings schon viel Vertrauen, um sich auf so einen „Sündenbock“ wirklich zu verlassen – die Zukunft wird es zeigen!

Veröffentlicht unter Internet, News, Recht, Sicherheit, Tipps und Tricks | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Foto: Eine Birke im Herbstkleid

Auf diesem Foto sieht man ein Upskirt-Foto 😉 von einer Birke im Herbst. Der Baum steht in einem Garten an der Janackerstiege in Lüdinghausen.

Bei weiterer Vergrößerung durch mehrfaches Anklicken des Fotos mit der linken Maustaste kann man sich die Blätter sogar einzeln anschauen…

Die vielen chaotischen Wechsel zwischen der Helligkeit des Himmels und den schon braunen Blättern führen auch dazu, dass das Foto für seine 4.160 x 2.336 Bildpunkte (10 Megapixel) trotz JPG-Kompression (80) mit fast 3 Megabyte deutlich mehr Speicherplatz braucht als ein durchschnittliches Foto von meinem Huawei-Smartphone.

Foto: Klaus Ahrens, Smartphone Huawei P8, CC BY-SA 4.0

Veröffentlicht unter Internet, Lokales, Mobilgeräte | Verschlagwortet mit , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Threema macht jetzt auch verschlüsselte Sprachanrufe

Nachdem derBetatest erfolgreich abgeschlossen wurde, schaltet der Messenger Threema jetzt diese Funktion sukzessive für alle Benutzer von Mobilgeräten unter iOS und Android frei. Threemas Sprachanrufe sind wie auch bei der Konkurrenz von WhatsApp und Telegram Ende-zu-Ende verschlüsselt.

Anders als bei diesen beiden Wettbewerbern ist die Rufnummer dafür noch nicht einmal nötig, weil man eine Threema-ID bekommt, über die der Sprachanruf dann aufgebaut wird. So entstehen nach Angaben von Threema weniger Metadaten.

Nach dem Verbindungsaufbau soll auch eine direkte P2P-Verbindung zwischen den beiden Smartphones aufgebaut werden. Wegen der konstanten Bitrate der Audio-Codierung soll die Größe der übermittelten Datenpakete dabei keine Rückschlüsse auf den Inhalt der Telefonate erlauben.

Veröffentlicht unter Internet, Mobilgeräte, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar