Kurz vorm Wochenende kam Post von der Sorte rein, wie ich sie nicht gern kriege. Diesmal Post vom Bundeskriminalamt an die Nickles.de Internet Publishing GmbH.
So was riecht irgendwie immer nach Ärger oder unbezahltem zeitlichen Aufwand. Im Schreiben des Bundeskriminalamts Wiesbaden ging es um eine Benachrichtigung über kompromittierte Benutzerkonten.
Aus dem Schreiben geht hervor, dass ein Ermittlungsverfahren läuft, bei dem unter anderem auch bekannt wurde, dass ein unbekannter Täter durch Einsatz einer Schad-Software namens "Pony", Zugangsdaten zu Benuterkonten ausgespäht hat. Betroffen war laut BKA auch ein Benutzerkonto von Nickles.de.
Das BKA geht davon aus, dass der Rechner des betroffenen Nickles-Mitglieds vom Pony-Trojaner infiziert ist und dieser seine Benutzerdaten ausspioniert hat. Das BKA hat Nickles.de (und andere Seitenbetreiber betroffener Benutzerkonten) über die Entdeckung informiert, damit wir den betroffenen Nutzer über eine mögliche Infektion seines Rechners (und die definitive Kompromittierung seiner Benutzerzugänge) hinweisen können.
Während ich den Vorgang hier untersucht habe, hat sich das betroffene Nickles.de-Mitglied bereits selbst hier im Forum gemeldet (http://www.nickles.de/forum/viren-spyware-datenschutz/2014/eine-schadsoftware-mit-namen-pony-539069210.html ), weshalb ich auf eine Anomyisierung des Nutzernamens (weil sinnlos) verzichtet habe und den Vorgang gleich hier im Blog aufkläre.
Wie mulex1 im Forum berichtet hat, kriegte er heute einen Anruf von einem Versandhändler, der ebenfalls ein Schreiben vom BKA erhalten hat, um ihm Bescheid zu geben. Anders als im Forenbeitrag beschrieben ist es wohl nicht so, dass über die Mail-Adresse von mulex1 Schad-Software verbreitet wird, sondern sich auf seinem Rechner eine Schad-Software (Pony) befindet, die seine Daten ausspioniert hat. Da dem BKA nur die ermittelten Zugangsdaten von mulex1 in die Hände fielen, seine Adresse aber nicht bekannt ist, hat es sich nun an die Betreiber der jeweiligen Webangebote gewandt, damit diese mulex1 warnen können.
Ich berichte hier im Blog um den Vorgang aufzuklären, da vermutlich auch weitere Webseiten-Betreiber wegen Pony Post vom BKA erhalten, also noch unbekannt viele weitere Nutzer betroffen sind.
Seinem Schreiben hat das BKA auch einen Leitfaden zur Pony-Schad-Software beigefügt (siehe Bild, dritte Seite rechts). Der eher für Laien gedachte Leitfaden erklärt, dass der Trojaner Pony in Web-Formulare eingegebene Zugangsdaten ausspioniert und den Tätern übermittelt. Das BKA rät zu einer Reinigung des Computers mit Hilfe von Anti-Viren-Produkten oder einer Neuinstallation des Betriebssystems.
Auf die Schnelle habe ich mal recherchiert, dass es sich bei Pony vermutlich um einen Trojaner des "Pony Botet" handelt, das seit Ende 2013 bekannt ist. Details zu diesem Trojaner gibt es beispielsweise von Trustwave Spiderlabs. Ob und wie sich der Trojaner (und vermutliche Varianten davon) treffsicher identifizieren lässt, weiß ich aktuell nicht. Eventuell finden wir hier gemeinsam mit mulex1 noch passende Infos und Methoden.