Trojaner auf Monster.com

Ein neuer Trojaner treibt sein Unwesen, sie nennen ihn „Infostealer.Monstres“, Forscher von Symantec und <a href="http://www.secureworks.com/">SecureWorks </a> entdeckten ihn unabhängig voneinander.

Im Weblog von Symantec ist zu lesen, dass sich der Trojaner auf Internet-Job-Börsen herumtreibt, unter anderem bei monster.com. Von dort aus lädt er vertrauliche Information auf Remote-Server. Die Forscher gingen der Sache nach und entdeckten auf den Servern über 1,6 Millionen Einträge zu persönlichen Daten wie Telefonnummern, Adressen, Namen der Betroffenen, E-Mail-Adressen. Diese Informationen gehören zu mehreren 100.000 Nutzern von Monster, die ihre Lebensläufe auf der Webseite hinterlegt haben; diese Anwender kommen hauptsächlich aus den Vereinigten Staaten.

Der Trojaner beschränkt seine Schnüffelei auf zwei Subdomains, die Headhunter und andere Rekrutierungsspezialisten nutzen, um potentielle Arbeitnehmer zu finden oder um Jobangebote zu platzieren.

Laut Symantec scheint der Trojaner sich über gestohlene Login-Informationen von diesen Scouts Zugang zum System zu verschafften. Er sucht dort nach Menschen in bestimmten Regionen, die bestimmte Berufe ausüben. Er sendet HTTP-Befehle zur Monster-Seite, um über gespeicherte Sucheinstellungen eines Scouts Profile von Zielpersonen zu analysieren und gegebenenfalls an die Server zu schicken.

Während ihrer Ermittlungen fanden die Forscher heraus, dass der Trojaner SPAM-Mails verschicken kann, dazu muss er nur eine Mail-Vorlage vom ihn kontrollierenden Server herunterladen. Symantec informierte sowohl Monster als auch die Scouts, deren Konten betroffen sind.

Symantec warnt im Weblog davor, allzu viele Informationen heraus zu geben, wenn man sich auf diesen Seiten herumtreibt, außerdem solle man wenn möglich für solche Webauftritte immer eine separate E-Mail-Adresse verwenden.