Forscher: Botnetz Cutwail ist zurück

Seine beste Zeit liegt etwas zurück: Im Mai 2009 war es für 35 Prozent des Spams weltweit verantwortlich. Jetzt deuten drei Kampagnen in drei Wochen auf eine Reaktivierung hin. M86Security konnte sich Zugang zu einem Exploit Kit verschaffen.

Sicherheitsforscher von M86Security haben den Verdacht geäußert, dass jüngste Malware-Kampagnen mit HTML-Anhängen von E-Mails auf eine Wiederbelebung des Botnetzes Cutwail zurückzuführen sind. In ihren Sensornetzwerken registrierten sie drei Wellen, die vermutlich auf diese Quelle zurückgehen.

Wurm Kelihos Botnetz

Die Kampagnen heißen nach dem Betreff der jeweiligen Mail „FDIC – Suspended bank account“, „End of August Statement“ und „Xerox Scan“. Es handelt sich um eine Kombination aus unerwünschter Werbung und Malware-Installation: Startet der Nutzer die angehängte HTML-Seite im Browser, wird er per Javascript auf eine URL der Kriminellen verwiesen, die ihm clientseitigen Schadcode unterschiebt, wenn seine Software nicht auf dem neuesten Stand ist und die genutzte Lücke noch enthält.

Die Schadprogramme basieren derzeit auf dem Malware Exploitation Kit Phoenix – einer Art Baukasten für Kriminelle. Um es zu nutzen, ist lediglich ein Webserver mit PHP nötig. Die Software wird kommerziell über das Internet vertrieben.

Die Forscher hatten sich Zugang zur Oberfläche einer Installation dieses Exploit Kit verschafft und bemerkt, dass die Mehrheit der verweisenden URLs nicht die anderer Websites waren, sondern solche von Unternehmensanwendern, die das HTML-Attachment geöffnet hatten und die Malware auf ihren PC luden.

M86Security rät Endanwendern das Übliche: Sie sollten keine Anhänge unerwarteter Mails öffnen und ihre Software auf dem neuesten Stand halten. Dies gilt besonders für Browser und ihre Plug-ins.

Cutwail geistert schon länger durch das Internet: Zu seiner Glanzzeit im Mai 2009 war es für 35 Prozent der weltweit verschickten Spam-Mails verantwortlich.

Das Botnetze wiederkommen können, solange auf irgendeinem Rechner eine Kopie ihres Schadcodes ruht, zeigt auch ein anderer Fall: Das vergangenen September auf Initiative von Microsoft geschlossene Botnetzt Kelihos ist seit Anfang Februar erneut aktiv. Wie Maria Gernaeva vom Sicherheitsunternehmen Kaspersky in einem Blogeintrag schreibt, wurde schon kurz nach der Schließung am 28. September eine neue Variante entdeckt, die dem Original sehr ähnlich ist.

Drei Malware-Kampagnen in den letzten Wochen lassen auf eine Wiederbelebung von "Cutwail" schließen (Bild. M86Security).
Drei Malware-Kampagnen in den letzten Wochen lassen auf eine Wiederbelebung von „Cutwail“ schließen (Bild. M86Security).

Neueste Kommentare 

Noch keine Kommentare zu Forscher: Botnetz Cutwail ist zurück

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *