Flashback-Trojaner: Hinter den Kulissen – was die Entwickler mit dem Backdoor vorhatten
Stefan Keller, den 2. Mai 2012Der Flashback-Trojaner war in den letzten Wochen in aller Munde. Er nutzte eine Sicherheitslücke, die in der Java-Runtime bestand und auf anderen Plattformen schon seit Monaten behoben war, bei Apple aber noch nicht. Die Sicherheitsdienstleister von Symantec haben sich nun genauer angesehen, was das eigentliche Ziel hinter dem Flashback-Trojaner war.
Im Symantec-Weblog hat ein Mitarbeiter des Unternehmens aufgeklärt, was genau es mit dem Flashback-Trojaner auf sich hat. Das bezieht sich einerseits darauf, wie man sich genau infizieren konnte und andererseits, was die Entwickler der Schadsoftware davon hatten. Zunächst einmal haben die Entwickler ausgenutzt, dass die Sicherheitslücke in der Java-Runtime bis zu dem Zeitpunkt nicht beseitigt wurde. Die Hacker haben Sicherheitslücken in bekannten Web-Software-Lösungen wie WordPress und Joomla ausgenutzt, um ein JavaScript im Quellcode zu verstecken.
Mithilfe des JavaScripts wurde dem nichts ahnenden Anwender eine Weiterleitung untergeschoben, die auf eine Webseite führte, auf der verschiedene Java-Sicherheitslücken ausprobiert wurden. Im Erfolgsfall wurde der Trojaner installiert. Flashback besteht aus mehreren Komponenten, so Symantec, aber für die Entwickler dürfte vor allem der „Ad-Clicker“ interessant gewesen sein.
Dieser integriert sich in Chrome, Firefox und Safari und klickt Werbung an, was dem Betreiber der Webseite mit der Werbung Geld bringt und dem Werbetreibenden Geld kostet. Die Erweiterung der Browser hat alle GET- und POST-Anfragen des Browsers abgefangen und nachgesehen, ob etwas Passendes dabei gewesen ist. Dabei hat Flashback vor allem nach Google-Suchabfragen gefahndet – hat der Anwender schließlich einen Treffer in der Werbe-Abteilung auf der Ergebnisseite angeklickt, wurde er auf eine manipulierte Webseite geleitet. Der Klick auf die Werbung, die der Anwender eigentlich aufrufen wollte, kam nie bei Google an.
Symantec hat einen manipulierten Aufruf auseinander genommen und festgestellt, dass ein solcher Klick 0,8 Cent wert ist. Mit der Masche gehen Google Einnahmen verloren, die auf dem Konto der Flashback-Entwickler landen. Dieses Vorgehen sei allerdings nicht wirklich neu, bereits im August hat ein anderer Wurm-Autor auf diese Weise Geld verdient. Das Bot-Netz umfasste aber nur 25 000 Computer, was einen Umsatz von 450 Dollar pro Tag bedeutet. Flashback hatte mehrere hunderttausend Infektionen, Symantec schätzt den Wert auf 10 000 Dollar pro Tag.