Mehr als nur beklaut

Doch selbst mit diesem umfassenden Datenklau ist der Spuk für Nutzer noch lange nicht vorbei, die sich die fiese Malware eingefangen haben. Gleichzeitig wird ihr Rechner nämlich auch noch in das weltweite Koobface-Netzwerk eingegliedert, indem die Malware einen Web-Server installiert. Dieser erzeugt wiederum selbst neue gefälschte Facebook- oder YouTube-Webseiten, um damit weitere Nutzer in die Falle zu locken. Dabei arbeitet der Webserver auch als Proxy, um die eigenen aktivitäten zu verschleiern und Anfragen an andere infizierte Rechner oder das Command & Control-Center weiterzuleiten. Gerade für Unternehmen ist dieser Schritt genauso gefährlich wie der reine Datenklau – denn als Host für Malware-Websites zu dienen kann für sie äußerst unangenehme Konsequenzen haben.

Da Koobface die Social-Networks auch benutzt, um Spam-Links zu versenden, hat etwa Facebook inzwischen einen Filter integriert, der den Versand von bekannten Spam-URLs verhindert. Doch kaum war die Technik implementiert, schon kamen die Cybergangster wieder mit einer neuen Variante namens »GCHECK«, die den Facebook-Filter mit Spam-URLs testet, und das Ergebnis an das zugehörige Command & Control-Center meldet. Durch diese genaue Aufstellung über gesperrte und offene Links können die Hintermänner den Wurm entsprechend genau instruieren und somit das Sicherheitsfeature ins Gegenteil umkehren.