Security

Millionenbetrug mit Online-Werbung: Microsoft und Symantec sprengen "Bamital"-Botnetz

Microsoft und Symantec ist es am Mittwoch gelungen, das sogenannte "Bamital"-Botnetz auszuheben. Infizierte Computer wurden im großen Stil für Klick-Betrug mit Online-Anzeigen eingesetzt, auch Suchergebnisse wurden manipuliert. Der Schaden geht in die Millionen.

07.02.2013, 14:16 Uhr
Microsoft© Microsoft

Microsoft und Symantec ist es am Mittwoch gelungen, ein Botnetz auszuschalten, über das großflächig Suchergebnisse und Online-Werbeanzeigen manipuliert worden sind. Das sogenannte Bamital-Netzwerk umfasste zwischen 300.000 und eine Million Rechner; mehr als acht Millionen Computer seien außerdem innerhalb der letzten zwei Jahre angegriffen worden, teilten die Unternehmen am Mittwoch mit.

Klick-Betrug im großen Stil

Auf befallenen Systemen sorgte die Bamital-Malware unter anderem für eine Umleitung von Anfragen, die in Suchmaschinen wie Google, Bing und Yahoo eingegeben wurden. Die anschließend ausgegebenen Resultate verfolgten vor allem den Zweck, Nutzer auf gefährliche Websites zu leiten, über die weitere Schadsoftware verbreitet werden sollte.

So habe in einem Fall etwa die Suche nach einer Sicherheitslösung von Symantec auf eine Seite mit gefälschter Antiviren-Software geendet, erklärte Microsoft in einem Blog-Beitrag. Hauptsächlich nutzten die Hintermänner das Botnetz den Angaben zufolge aber für Klick-Betrug bei Web-Anzeigen und erbeuteten von Unternehmen sowie Werbevermarktern wie das zu Microsoft gehörende Bing Ads mehrere Millionen Dollar. Infizierte Rechner ließen sich darüber hinaus beliebig für DDoS-Attacken einsetzen, zudem waren den Kriminellen persönliche Daten der ahnungslosen Nutzer zugänglich.

Spur führt nach Russland und in die Ukraine

Infolge der als "Operation b58" bezeichneten Abschaltung des Botnetzes ist es auf befallenen PCs nicht mehr möglich, Suchanfragen zu tätigen. Betroffene werden allerdings automatisch auf eine von Microsoft sowie Symantec eingerichtete Informationsseite geleitet und über die Infektion ihres Systems informiert. Dort finden sich auch kostenlose Tools, mit denen sich alle Bamital-Überreste entfernen lassen.

Seinen Ursprung hat das Netzwerk mutmaßlich in Russland oder der Ukraine – entsprechende Hinweise wurden in Cookies der Bamital-Malware gefunden. Die zur Steuerung der Zombie-Flotte verwendeten Server befanden sich in Rechenzentren in den USA und den Niederlanden. Die in den USA verorteten Server wurden mithilfe der US-Behörden beschlagnahmt, nachdem Microsoft Ende Januar Klage gegen die Urheber von Bamital (PDF) wegen Betruges eingereicht hatte. Laut Klageschrift seien von Unbekannten in mindestens 18 Fällen unter falschen Namen Domains registriert und Server angemietet worden. Weitere Erkenntnisse erhoffen sich Microsoft und Symantec nun durch Untersuchung auf den Servern befindlicher Daten.

(Christian Wolf)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang