Abo
  • Services:
Anzeige
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Malware: Blackcoffee nutzt Forum für C&C-Vermittlung

Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Die Malware Blackcoffee hat Microsofts Technet-Webseite für die Vermittlung von IP-Adressen ihrer C&C-Server missbraucht. Angreifer müssen dazu die Forenserver noch nicht einmal kompromittieren.

Anzeige

Die Malware heißt Blackcoffee, und sie bekommt die IP-Adressen ihrer C&C-Server von legitimen Webseiten. Entdeckt wurde die DNS-ähnliche Infrastruktur auf Microsofts Webseite Technet. Kompromittiert wurden deren Server aber nicht. Stattdessen versteckten die Angreifer die IP-Adressen in Postings und Profilinformationen. Dadurch können sie Anfragen ihrer Malware verschleiern und zudem eine immer erreichbare Quelle für IP-Adressen liefern.

Die IP-Adressen werden im Code der Postings versteckt und sind selbst nochmals kodiert, was deren Entdeckung erschweren soll. Im Falle von Technet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION untergebracht. Im Netzwerk mit dem infizierten Server sind bei solchen Anfragen immer nur die legitimen IP-Adressen etwa von Technet zu sehen.

Malware-Befehle als normaler Netzwerkverkehr getarnt

Blackcoffee holt sich von den manipulierten Webseiten eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server. Die Malware wurde bereits 2013 entdeckt und versucht seit jeher, Verbindungen als legitimen Netzwerkverkehr zu tarnen, etwa in Form von Anfragen an Suchmaschinen.

Dass Malware sich verstärkt über soziale Medien verbreitet und dort auch C&C-Server-Adressen platziert, ist indes nicht neu. Das IT-Sicherheitsunternehmen Fireeye, das die aktuelle Infektion auf den Technet-Webseiten zusammen mit Microsoft entdeckte und analysierte, befürchtet jedoch eine weitere Steigerung solcher Taktiken. Außerdem geht das Unternehmen davon aus, dass Angreifer auch andere Foren-Seiten so für ihre Zwecke missbrauchen.

Microsoft hat inzwischen reagiert und seine Webseiten dagegen gewappnet. Außerdem wurden die Signaturen von Blackcoffee in seine Anti-Malware-Software integriert.

Das unter anderem von der CIA finanziell unterstützte Unternehmen Fireeye will Blackcoffee übrigens chinesischen Hackern zugeordnet haben.


eye home zur Startseite
Arystus 18. Mai 2015

Ok... Autsch :D Gibt es wirklich solche Bewerbungen, für mich Persönlich ist das nicht...

eizi 17. Mai 2015

Was soll das? In einem IT-Forum wie Golem eines ist erwartet ich mir eine fundierte...

anditilo 16. Mai 2015

... wäre wohl hier zu sehen: https://www.reddit.com/r/strawmen

CodeMagnus 16. Mai 2015

Warum so kompliziert? Blackcoffee hätte das einfacher/besser lösen können. Nahezu jeder...

derats 15. Mai 2015

Bitcoin ist zu offensichtlich anormale Aktivität. Nen Haufen Verbindungen zu Technet...



Anzeige

Stellenmarkt
  1. Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit, Bad Kissingen
  2. Fraunhofer-Institut für Produktionstechnologie IPT, Aachen
  3. afb Application Services AG, München
  4. MediaMarktSaturn, München


Anzeige
Top-Angebote
  1. 30,99€
  2. (heute u. a. mit Soundbars und Heimkinosystemen, ASUS-Notebooks, Sony-Kopfhörern, Garmin...

Folgen Sie uns
       


  1. Auftragsfertiger

    Intel zeigt 10-nm-Wafer und verliert Kunden

  2. Google Home Mini

    Google plant Echo-Dot-Konkurrenten mit Google Assistant

  3. Drei Modelle vorgestellt

    Elektrokleinwagen e.Go erhöht die Spannung

  4. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut

  5. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  6. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  7. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  8. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  9. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  10. Elektromobilität

    In Norwegen fehlen Ladesäulen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

  1. Re: Als Nicht-Smartphone-Besitzer

    Trollversteher | 09:34

  2. 3 Seiten Geheule

    Der_Hausmeister | 09:34

  3. Re: Der Kühlergrill...

    ArcherV | 09:34

  4. Re: Idee

    user0345 | 09:34

  5. Re: Und dann erklärt mir wer, Monero könne man...

    ArcherV | 09:33


  1. 08:45

  2. 08:32

  3. 07:00

  4. 19:04

  5. 18:51

  6. 18:41

  7. 17:01

  8. 16:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel