Die Malware-Programmierer der Blackcoffee genannten Backdoor legen im Microsofts TechNet-Forum Beiträge an, um die IP-Adressen der Command-and-Control-Server an die infizierten Rechner zu verteilen, meldet die IT-Sicherheitsfirma FireEye.

Das Vorgehen der Gruppe APT17, die auch unter dem Namen DeputyDog bekannt ist, wird in einem Report von FireEye erklärt. Die Angreifer legen demnach normale Forumsbeiträge an, die verschlüsselte IP-Adressen zwischen den Wörtern "@MICR0S0FT" und "C0RP0RATI0N" enthalten. Da die Malware der infizierten Rechner auf eine harmlose Webseite von Microsoft zugreift, wird die Enttarnung des Schädlings dadurch erschwert. Twitter und MySpace waren in der Vergangenheit auch schon für die Kommunikation eines Botnetzes verwendet worden.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE