Zehntausende Opfer: Mehrzweck-Wurm kapert Facebook-Konten

Der Computerwurm Ramnit ist kein Neuzugang. Entdeckt wurde er schon im April 2010, treibt seitdem sein Unwesen. Doch jetzt wurde seine Angriffsmethode geändert. Die Computersicherheitsfirma Seculert meldet, der Wurm habe jetzt Facebook-Konten als neues Angriffsziel. Den Sicherheitsexperten zufolge hat die Schadsoftware bereits die Login-Daten von mehr als 45.000 Nutzer des sozialen Netzwerks erbeutet. Die bei weitem meisten Infektionen betreffen demnach Anwender in Großbritannien und Frankreich. Nur bei vier Prozent der Login-Diebstähle waren Seculert zufolge Daten von Facebook-Nutzern aus anderen Ländern betroffen.

Doch diese Angaben muss man als vorläufig ansehen, sie sind nur eine Momentaufnahme. Die Experten von Seculert vermuten, dass die neue Ramnit-Variante die erbeuteten Facebook-Daten verwendet, um sich in die Accounts der Opfer einzuloggen und von dort aus getarnte Links an sämtliche Facebook-Freunde des jeweiligen Nutzers zu versenden. Über diese Links sollen die Anwender zu Seiten geführt werden, auf denen der Ramnit-Wurm versteckt ist und dann heimlich auf den Rechner geladen werde. Drive-by nennt man so eine Infektion per Website. Letztlich dient der Facebook-Angriff also primär der Verbreitung der Schadsoftware selbst. Für Facebook gilt längst, was auch im Umgang mit E-Mails Grundregel sein sollte: Bei verdächtig wirkenden Links ist höchste Vorsicht geboten.

Ursprünglich hatte Microsofts Malware Protection Center (MMPC) den Ramnit-Wurm entdeckt, und zwar schon im April 2010. Die Experten bezeichneten die Software damals als eine Familie von Multifunktions-Schadprogrammen die sowohl ausführbare Windows-Programme als auch HTML-Dateien infizieren könnten. Ihr Ziel sei es, auf dem Rechner gespeicherte Login-Daten, etwa für FTP-Server, sowie Cookies, in denen Zugangscodes gespeichert sein können, zu entwenden.

Viele Nutzer sind leichtsinnig

Wie erfolgreich Ramnit dabei ist, verdeutlichen zwei Zahlen: Einem Bericht der Softwarefirma Symantec zufolge gingen im Juli 2011 17,3 Prozent der weltweiten Infektionen von Computern mit Schadsoftware auf das Konto des Mehrzweckwurms. Seculert wiederum meldet, allein zwischen September und Dezember letzten Jahres seien rund 800.000 Rechner mit Ramnit infiziert worden.

Letztlich sei es das Ziel der Schadsoftware, Zugang zu den Computersystemen von Banken und anderen Finanzinstitutionen zu erlangen, sich in Online-Banking-Vorgänge einzuschleusen und Firmennetzwerke zu infiltrieren. Zusätzlich, so die Seculert-Forscher, würden die Urheber von Ramnit davon profitieren, dass viele Nutzer zu faul sind, um sich verschiedene Passworte zu merken und deshalb dasselbe Passwort für verschiedene Onlinedienste nutzen. So hätten sie über ein einmal in Erfahrung gebrachtes Facebook-Passwort auch Zugriff auf E-Mail-Konten oder externe Zugänge zu Firmennetzwerken, sogenannte VPNs (Virtual Private Network).

Angriffsziel Online-Banking

Auf welche Weise die neue Ramnit-Variante sich die Facebook-Zugangsdaten erschleicht, erklärt Seculert in dem Bericht nicht. Die Experten sehen den neuen Wurm als einen weiteren Hinweis darauf, dass sich Kriminelle mehr und mehr drauf verlegen, soziale Netzwerke als Verteilerknoten für ihre Schadsoftware zu nutzen. Zuletzt hatte sich im November ein Wurm über Facebook verbreitet, der das soziale Netzwerke nutze, um einen Banking-Trojaner auf den Rechnern seiner Opfer zu installieren.

Zumindest die vom ersten Angriff Betroffenen, dürften über die Infektion ihrer PC mittlerweile informiert sein. Seculert hat die Daten der 45.000 kompromittierten Facebook-Accounts bereits an die Betreiber des Netzwerks weitergegeben. Entwarnung bedeutet das aber nicht.