Nickles Blog 212 Themen, 8.716 Beiträge

Pony Schad-Software - Post vom Bundeskriminalamt

Michael Nickles / 9 Antworten / Flachansicht Nickles

Kurz vorm Wochenende kam Post von der Sorte rein, wie ich sie nicht gern kriege. Diesmal Post vom Bundeskriminalamt an die Nickles.de Internet Publishing GmbH.

So was riecht irgendwie immer nach Ärger oder unbezahltem zeitlichen Aufwand. Im Schreiben des Bundeskriminalamts Wiesbaden ging es um eine Benachrichtigung über kompromittierte  Benutzerkonten.

Aus dem Schreiben geht hervor, dass ein Ermittlungsverfahren läuft, bei dem unter anderem auch bekannt wurde, dass ein unbekannter Täter durch Einsatz einer Schad-Software namens "Pony", Zugangsdaten zu Benuterkonten ausgespäht hat. Betroffen war laut BKA auch ein Benutzerkonto von Nickles.de.

Das BKA geht davon aus, dass der Rechner des betroffenen Nickles-Mitglieds vom Pony-Trojaner infiziert ist und dieser seine Benutzerdaten ausspioniert hat. Das BKA hat Nickles.de (und andere Seitenbetreiber betroffener Benutzerkonten) über die Entdeckung informiert, damit wir den betroffenen Nutzer über eine mögliche Infektion seines Rechners (und die definitive Kompromittierung seiner Benutzerzugänge) hinweisen können.

Während ich den Vorgang hier untersucht habe, hat sich das betroffene Nickles.de-Mitglied bereits selbst hier im Forum gemeldet (http://www.nickles.de/forum/viren-spyware-datenschutz/2014/eine-schadsoftware-mit-namen-pony-539069210.html ), weshalb ich auf eine Anomyisierung des Nutzernamens (weil sinnlos) verzichtet habe und den Vorgang gleich hier im Blog aufkläre.

Wie mulex1 im Forum berichtet hat, kriegte er heute einen Anruf von einem Versandhändler, der ebenfalls ein Schreiben vom BKA erhalten hat, um ihm Bescheid zu geben. Anders als im Forenbeitrag beschrieben ist es wohl nicht so, dass über die Mail-Adresse von mulex1 Schad-Software verbreitet wird, sondern sich auf seinem Rechner eine Schad-Software (Pony) befindet, die seine Daten ausspioniert hat. Da dem BKA nur die  ermittelten Zugangsdaten von mulex1 in die Hände fielen, seine Adresse aber nicht bekannt ist, hat es sich nun an die Betreiber der jeweiligen Webangebote gewandt, damit diese mulex1 warnen können.

Ich berichte hier im Blog um den Vorgang aufzuklären, da vermutlich auch weitere Webseiten-Betreiber wegen Pony Post vom BKA erhalten, also noch unbekannt viele weitere Nutzer betroffen sind.

Seinem Schreiben hat das BKA auch einen Leitfaden zur Pony-Schad-Software beigefügt (siehe Bild, dritte Seite rechts). Der eher für Laien gedachte Leitfaden erklärt, dass der Trojaner Pony in Web-Formulare eingegebene Zugangsdaten ausspioniert und den Tätern übermittelt. Das BKA rät zu einer Reinigung des Computers mit Hilfe von Anti-Viren-Produkten oder einer Neuinstallation des Betriebssystems.

Auf die Schnelle habe ich mal recherchiert, dass es sich bei Pony vermutlich um einen Trojaner des "Pony Botet" handelt, das seit Ende 2013 bekannt ist. Details zu diesem Trojaner gibt es beispielsweise von Trustwave Spiderlabs. Ob und wie sich der Trojaner (und vermutliche Varianten davon) treffsicher identifizieren lässt, weiß ich aktuell nicht. Eventuell finden wir hier gemeinsam mit mulex1 noch passende Infos und Methoden.

bei Antwort benachrichtigen
gelöscht_301121 Michael Nickles „Pony Schad-Software - Post vom Bundeskriminalamt“
Optionen

Hallo,

scheint sich ja gerade einiges zu tun:

http://www.golem.de/news/rcs-galileo-staatstrojaner-fuer-android-und-ios-geraete-im-einsatz-1406-107431.htm

Zitat: "Zu den Opfern zählen Aktivisten, Menschenrechtler, Journalisten und Politiker, erklärte Kaspersky."

Bei der Analyse von Kapersky:

http://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile

schent das auch bemerkenswert (Zitat): "Nevertheless, several IPs were identified as “government” related based on their WHOIS information and they provide a good indication of who owns them."

Dagegen erscheint das ja schon eher "harmlos":

http://www.golem.de/news/man-in-the-browser-angreifer-raeumen-bankkonten-in-europa-ab-1406-107444.html

und betraf (St. Florians Prinzip) hauptsächlich Bankkunden aus Italien und der Türkei.

Einen schönen Tag, Grüße,

Michael

bei Antwort benachrichtigen