Jeder Facebook-Benutzer kennt das und freut sich auch darüber: Möchte ein Freund oder Bekannter sich mit einem selbst auf Facebook vernetzen, so schickt er eine Freundesanfrage. Diese erreicht den Empfänger nicht nur über die Facebook-Seite selbst, sondern zusätzlich noch einmal über eine E-Mail, die automatisch verschickt wird. Ein Mausklick reicht an dieser Stelle bereits aus, um einen neuen Freund oder eine Freundin zu gewinnen.

Jeder Facebook-Anwender kennt sich mit der Prozedur bestens aus: Viele Freunde bedeutet ein gutes Image in der Online-Welt. Das Malware-Analyse-Team von Emsisoft warnt nun aber davor, allzu voreilig mit den Einladungs-Mails umzugehen. Sie werden zurzeit verstärkt von Kriminellen dazu benutzt, die Anwender mit gefährlicher Malware zu infizieren.

Eine dieser aktuell kursierenden Phishing-Mails wurde nun von Emsisoft analysiert. Die englische Mail trägt den Titel "Kaamil Mahmoud wants to be friends on Facebook". Der Name ist aber austauschbar, ähnliche Mails verwenden Namen wie Uqbah Qasim, Jasoor Shaheen, Talaal Issa, Rayyaan Sulayman oder Inaaya Qasim.

Klickt der Anwender auf "Confirm Friend Request", führt der Link aber nicht direkt auf die Facebook.com-Seite, sondern auf eine ganz andere, die nicht zum Facebook-Konzern gehört.

Die gefälschte Seite sieht zwar aus wie eine Facebook-Seite, sie ist aber keine. Auf der Seite steht dem üblichen Text die überraschende Nachricht: "Your version of Macromedia Flash Player is too old to continue. Download and install the latest version of Adobe Flash Player". Sobald die Anwender auf den angebotenen Link "Download and Install" klicken, lädt der Browser eine Malware mit dem Dateinamen updateflash.exe. Es enthält den bekannten Trojaner Zeus, der auch als ZBot bekannt ist.

Wer diese Datei NICHT startet, ist leider noch nicht auf der sicheren Seite. Die gefälschte Facebook-Seite lädt nämlich automatisch noch eine andere Webseite im Hintergrund. Das Exploit-Skript, das nun in einem versteckten iFrame ausgeführt wird, gehört zum BlackHole Exploit Kit. Das Skript versucht nun, den Computer des Opfers zu infiltrieren, indem vorhandene Sicherheitslücken etwa in Java ausgenutzt werden. Das Skript erlaubt es den Kriminellen, die Malware automatisch zu starten, ohne dass der infizierte Nutzer dies mitbekommt und ohne dass es zu einer weiteren Interaktion mit dem Anwender kommen muss.

Emsisoft-Geschäftsführer Christian Mairoll: "Am sichersten ist es, wenn sich die Anwender immer nur direkt auf facebook.com einloggen und neue Freundschaften nur hier annehmen. So geht man allen Phishing-Angriffen sicher aus dem Weg. Wer dennoch die Links in den E-Mails verwendet, sollte die Ziel-URLs im Auge behalten. Oft reicht schon ein Mouseover über den Link aus, um die wahre Web-Zieladresse in Erfahrung zu bringen. Natürlich lohnt es sich auch, alle Anfragen von Menschen zu ignorieren, die man gar nicht kennt."

Quelle: Emsi Software GmbH (Typemania)