Der Protagonist: eine Chrome-Erweiterung
Alles beginnt mit einer EXE-Datei, die als Installationsprogramm für den Adobe Flash Player (Flashplayer_Update5302.exe) getarnt ist. Die Datei verfügt über eine digitale Signatur; die Datei-Informationen werden mit gefälschten Daten von Adobe Systems Incorporated geladen. Die Produkte von G DATA erkennen die Datei als Win32.Malware.FBook.E.
Wird die EXE-Datei ausgeführt, installiert sie eine Erweiterung für den Browser Google Chrome auf dem betreffenden Computer. Diese trägt die Bezeichnung „Flash Player“ und wird als Script.Trojan.Pinc.A erkannt. In der Regel können diese Erweiterungen nur im offiziellen Google Store heruntergeladen und installiert werden; diese Erweiterung tritt jedoch unter dem falschen Namen „Flash Update“ auf und manipuliert den Browser Google Chrome! Durch die EXE-Datei wechselt der Browser in den Entwicklermodus, wodurch beliebige Erweiterungen installiert werden können, auch solche, die nicht von Google stammen. Um in diesen Modus zu gelangen, ändert die Binärdatei die Datei C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Preferences und fügt die folgenden Daten ein:
"ui": {
"developer_mode": true
}
Mit der Wahl einer Chrome Erweiterung haben die Aktivisten nichts dem Zufall überlassen. Google Chrome ist heute der weltweit meist genutzte Browser: Laut StatCounter.com verwenden 42,4 % aller Nutzer Google Chrome.
Weder die EXE-Datei noch die Erweiterung sind im engeren Sinne bösartig oder schädlich. Das Verhalten der Erweiterung ist jedoch potenziell unerwünscht, beeinträchtigt die privaten Daten des Nutzers (siehe Zusammenhang mit Facebook weiter unten im Text) und greift in sein Recht ein, Inhalte nach eigenem Ermessen zu installieren bzw. deinstallieren. Die Erweiterung installiert sich nicht nur selbst, sondern wehrt sich auch aktiv gegen die Deinstallation und Fehlerbehebung. Sobald der betroffene Nutzer versucht, die Browser Erweiterung durch den Befehl chrome://extensions zu öffnen, wird der entsprechende Tab sofort wieder geschlossen. Der Nutzer hat keinerlei Zugriff auf die Erweiterung. Zudem erkennt die Erweiterung, ob die „Chrome Developer Tools“ gerade ausgeführt werden. Ist dies der Fall, lädt die Erweiterung die weiter unten beschriebenen Befehle nicht herunter und reagiert einfach nicht.
Die Erweiterung erhält Befehle
Die Erweiterung kontaktiert dann drei verschiedene Social-Media-Accounts: zwei Twitter-Accounts und ein Google+-Account. Alle diese Accounts wurden den entsprechenden Unternehmen bereits gemeldet. Dennoch verzeichneten die Statistiken zum Google+-Account bis zum 19. Mai fast 13 Millionen (!) Besucher! Die Tatsache, dass die Aktivisten auf zwei verschiedene soziale Netzwerke zurückgreifen, ist besonders interessant: Selbst wenn eines der Netzwerke nicht erreicht werden kann oder seinen Account ändert, ist das zweite Netzwerk immer aktiv, wodurch die Malware weiterhin einwandfrei funktioniert. G DATA hat sich an Google und Twitter gewandt und gefordert, dass die betreffenden Accounts sofort gelöscht werden.
Werfen wir einen Blick auf die Accounts. Am wichtigsten sind die Daten, die im Profil gespeichert sind: Der String zwischen den beiden #b#-Abschnitten ist der Hauptteil der URL, welche die Erweiterung als nächstes kontaktieren soll. Schauen Sie sich das Schema an, nach dem die gesamte URL aufgebaut ist:
http:// + String zwischen #b#-Abschnitten + .com + /chrome.php
Alternativ werden auch die .php-Pfade iexplorer.php oder auch protected.php verwendet. Daraufhin kontaktiert die Erweiterung die so erstellte URL-Adresse und empfängt dadurch eine JavaScript-Datei.
Eine weitere Social-Media-Plattform: Facebook
Der JavaScript-Code wird in jede besuchte Webseite injiziert. Ausgeführt wird er jedoch nur dann, wenn der betroffene Nutzer Facebook besucht. Für die JavaScript-Injektion nutzt die Erweiterung die Funktion chrome.tabs.executeScript(). Meldet sich der „infizierte“ Nutzer nun bei seinem Facebook Account an, wird der heruntergeladene JavaScript Befehl aktiv und sendet eine private Nachricht an alle Facebook Freunde des geschädigten Nutzers:
Für diese Aufgabe nutzt die Erweiterung Ajax-Technologien und sendet an Facebook direkte Abfragen, ohne dazu die Validierung des Nutzers erhalten zu müssen. Sie simuliert stattdessen die Benutzeraktion.
Die Nachricht ist auf Türkisch und laut unserem Übersetzerkollegen in einem eher umgangssprachlichen Stil abgefasst. Facebook wird zu „face“ oder „feys“ abgekürzt; auf das Land Türkei wird mit „TR“, dem offiziellen zweistelligen Ländercode gemäß ISO 3166-2, Bezug genommen. Schauen wir auf den Text, enthält er dennoch interessante Informationen:
Zeitungen und andere Medien haben berichtet, dass Face[book] in der Türkei zensiert werden soll. DNS und VPNs sollen blockiert werden. Ich habe einige Websites im Internet gecheckt und ein Programm namens „ag antisansür“ [Netzwerk gegen Zensur] gefunden. Nach der Installation des Programms konnte ich auf verbotene Websites wie z. B. Youtube zugreifen. Falls „feys“ [Facebook] blockiert wird, kann dieses Programm sehr wahrscheinlich auf die Website zugreifen. „antisansür“ wurde von Google entwickelt. Jeder sollte dieses Programm installieren. Klicken Sie auf den folgenden Link zum Download von „antisansür“.
Die angehängte ZIP-Datei enthält die EXE-Datei oder eine Variante derselben, über die wir bereits oben gesprochen haben. Hier also schließt sich der Kreis bei dieser Betrügerei.
Weitere Tipps zur Umgehung der Zensur werden gegeben:
Die private Facebook Meldung enthält noch viel mehr: eine weitere URL bzw. eine enorme Anzahl weiterer URLs. Wir haben in diesem Fall mehr als 15.000 verschiedene URLs registriert. Diese URLs wurden alle auf verschiedenen Servern eines einzigen französischen Providers gehostet. Die Aktivisten erlangen den Zugriff zu den Servern und missbrauchen diese für ihre Zwecke. Jede der betreffenden HTML-Dateien auf ihrem Server wurde entweder am 25. April oder am 26. April erstellt. Der Provider ist informiert und nimmt sich der Sache an.
Der alleinige Zweck, den die Aktivisten damit verfolgen, ist es, den Besucher wieder auf eine vordefinierte Seite mit einer Ankündigung auf Türkisch zu lenken:
Im Hinblick auf das Website-Design und insbesondere im Hinblick auf den Domain-Namen (TRwitter.net) besteht eine sehr große Ähnlichkeit mit dem offiziellen Twitter Webauftritt. Dies ist für den Besucher irreführend, da er glauben könnte, dass die Meldung vom offiziellen Microblogging-Dienst Twitter stammt. Die Nachricht lautet wie folgt:
Achtung! Schon bald ist möglicherweise auch Facebook gesperrt. Sie können jedoch über die unten genannten DNS-Einträge auf Twitter, Youtube und Facebook zugreifen. Sie können diese Dienste frei von VPN-Werbeeinblendungen nutzen. DNS 1: DNS 2: Bitte leiten Sie diese Informationen zu den neuen DNS-Servern an alle weiter!
Die Suche nach Informationen über die Domain hat ergeben, dass diese am 24. März 2014 mit falschen Registrierdaten (z. B. Name = xxx uuuu) erstellt wurde, nur 4 Tage nach Erdogans Wutausbruch über soziale Netzwerke. Es ist nicht verwunderlich, dass die Website hauptsächlich von der Türkei aus besucht wird.