Ein unbekannter Angreifer hat eine mit Malware angereicherte Version des DDoS-Tools Slowloris geschaffen und damit vermutlich die Computer einer unbekannten Zahl von Anonymous-Unterstützern infiziert. Das berichtet Symantec und weist zugleich auf die Verhaftung von Mitgliedern des Hackerkollektivs in der letzten Woche hin, scheint also einen Zusammenhang nicht ausschließen zu wollen.
Das Täuschungsmanöver begann am 20. Januar 2012, einen Tag nach der Schließung von Megaupload, dem von Anonymous initiierte DDoS-Attacken auf die Websites von FBI, Justizministerium und Medienkonzernen folgten. Der Angreifer kopierte eine beliebte Anleitung auf Pastebin, die von Anonymous-Unterstützern zum Download des Denial-of-Service-Tools angesteuert wurde. Er ersetzte den Download-Link durch einen anderen, der zu einer trojanerbehafteten Version der Software führte, und veröffentlichte die Anleitung erneut. Anschließend sorgte er noch dafür, dass 470 Tweets auf die manipulierte Anleitung mit dem tückischen Link verwiesen.
Nach dem Download installierte sich die Botnetz-Software Zeus auf den Rechnern ahnungsloser Unterstützer. Sie überträgt nach ihrer Installation Cookies sowie Zugangsdaten für Banken und Webmail an einen entfernten Server. Die Malware ist nur sehr schwer wieder zu entfernen und tarnt sich geschickt. Um nicht aufzufallen, sorgte sie in diesem Fall zudem dafür, dass die infizierten Rechner tatsächlich DDoS-Angriffe auf die von Anonymous vorgegebenen Ziele ausführten.
Symantec warnt, dass die Teilnehmer einer DDoS-Attacke des Hackerkollektivs Anonymous nicht nur möglicherweise gegen Gesetze verstoßen, sondern zusätzlich ihre Zugangsdaten für Onlinebanking und E-Mail riskieren. Die Kombination von betrügerischer Malware, den Hacktivismus-Zielen von Anonymous und getäuschten Unterstützern sei „eine gefährliche Entwicklung für die Onlinewelt“.
Die Sicherheitsfirma erwähnte dabei nicht, dass sie selbst zuvor durch einen Anonymous-Angriff bloßgestellt wurde. Im letzten Monat machten die Hacker ihre Drohung wahr und veröffentlichten den Quellcode von Symantecs Fernwartungslösung PC Anywhere. Sie werfen Symantec vor, seine eigenen Kunden belogen zu haben, und boten den Quellcode zum Download an, um dies zu belegen.
[mit Material von Emil Protalinski, ZDNet.com]