Abo
  • Services:
Anzeige
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Malware: Blackcoffee nutzt Forum für C&C-Vermittlung

Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren.
Die IP-Adressen für seinen C&C-Server holt sich die Malware Blackcoffee aus öffentlichen Foren. (Bild: Fireeye)

Die Malware Blackcoffee hat Microsofts Technet-Webseite für die Vermittlung von IP-Adressen ihrer C&C-Server missbraucht. Angreifer müssen dazu die Forenserver noch nicht einmal kompromittieren.

Anzeige

Die Malware heißt Blackcoffee, und sie bekommt die IP-Adressen ihrer C&C-Server von legitimen Webseiten. Entdeckt wurde die DNS-ähnliche Infrastruktur auf Microsofts Webseite Technet. Kompromittiert wurden deren Server aber nicht. Stattdessen versteckten die Angreifer die IP-Adressen in Postings und Profilinformationen. Dadurch können sie Anfragen ihrer Malware verschleiern und zudem eine immer erreichbare Quelle für IP-Adressen liefern.

Die IP-Adressen werden im Code der Postings versteckt und sind selbst nochmals kodiert, was deren Entdeckung erschweren soll. Im Falle von Technet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION untergebracht. Im Netzwerk mit dem infizierten Server sind bei solchen Anfragen immer nur die legitimen IP-Adressen etwa von Technet zu sehen.

Malware-Befehle als normaler Netzwerkverkehr getarnt

Blackcoffee holt sich von den manipulierten Webseiten eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server. Die Malware wurde bereits 2013 entdeckt und versucht seit jeher, Verbindungen als legitimen Netzwerkverkehr zu tarnen, etwa in Form von Anfragen an Suchmaschinen.

Dass Malware sich verstärkt über soziale Medien verbreitet und dort auch C&C-Server-Adressen platziert, ist indes nicht neu. Das IT-Sicherheitsunternehmen Fireeye, das die aktuelle Infektion auf den Technet-Webseiten zusammen mit Microsoft entdeckte und analysierte, befürchtet jedoch eine weitere Steigerung solcher Taktiken. Außerdem geht das Unternehmen davon aus, dass Angreifer auch andere Foren-Seiten so für ihre Zwecke missbrauchen.

Microsoft hat inzwischen reagiert und seine Webseiten dagegen gewappnet. Außerdem wurden die Signaturen von Blackcoffee in seine Anti-Malware-Software integriert.

Das unter anderem von der CIA finanziell unterstützte Unternehmen Fireeye will Blackcoffee übrigens chinesischen Hackern zugeordnet haben.


eye home zur Startseite
Arystus 18. Mai 2015

Ok... Autsch :D Gibt es wirklich solche Bewerbungen, für mich Persönlich ist das nicht...

eizi 17. Mai 2015

Was soll das? In einem IT-Forum wie Golem eines ist erwartet ich mir eine fundierte...

anditilo 16. Mai 2015

... wäre wohl hier zu sehen: https://www.reddit.com/r/strawmen

CodeMagnus 16. Mai 2015

Warum so kompliziert? Blackcoffee hätte das einfacher/besser lösen können. Nahezu jeder...

derats 15. Mai 2015

Bitcoin ist zu offensichtlich anormale Aktivität. Nen Haufen Verbindungen zu Technet...



Anzeige

Stellenmarkt
  1. Evangelische Kirche in Deutschland (EKD), Hannover
  2. Chrono24 GmbH, Karlsruhe
  3. HUK-COBURG Versicherungsgruppe, Coburg
  4. Bertrandt Technikum GmbH, Ehningen bei Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  2. PC

    Geld für Intel Inside wird stark gekürzt

  3. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  4. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  5. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  6. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  7. Lohn

    Streik bei Amazon an zwei Standorten

  8. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder

  9. FTTH/B

    EWE und Telekom investieren zwei Milliarden Euro in FTTH/B

  10. Honor 7X, Moto X4 und U11 Life im Test

    Drei gute Alternativen zu teuren Smartphones



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Re: Dragon Quest Builders

    Dwalinn | 16:21

  2. Re: Im Prinzip wie der 27UD88-W nur eben größer...

    Askaaron | 16:20

  3. Re: In 1000 Jahren...

    Dwalinn | 16:19

  4. Re: Überschriften wollen gelernt sein

    Elgareth | 16:19

  5. Re: Alle Jahre wieder

    Funny77 | 16:17


  1. 16:00

  2. 15:29

  3. 15:16

  4. 14:50

  5. 14:25

  6. 14:08

  7. 13:33

  8. 12:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel