Anzeige

Matryoshka

Mit PirateMatryoshka haben Forscher von Kaspersky Lab eine neue Malware entdeckt, die über Pirate Bay verbreitet wird. Die Malware tarnt sich zunächst als gehackte Version legitimer Software, enthält jedoch einen Trojaner-Downloader, der bösartige Installationsprogramme herunterlädt.

Ziel ist es, die Computer der Nutzer mit Adware und Tools für die Installation zusätzlicher Malware zu infizieren. Wie eine der aus Holz gefertigten, ineinander schachtelbaren, russischen Matrioschka-Puppen – daher auch die Wahl des Namens – ist die Malware mehrschichtig strukturiert und besitzt scheinbar unendliche Funktionen, die sich durch das Nachladen weiterer Software ergeben.

Torrent-Dienste werden hauptsächlich für die Verbreitung von raubkopierten Inhalten verwendet, die online leicht zugänglich bleiben, obwohl sie in den meisten Ländern illegal sind, da sie geistige Eigentumsrechte verletzen können. Sie sind ein beliebtes Ziel für Cyberkriminelle, um bösartigen Code zu verbreiten, da Nutzer, die nach illegalen Inhalten suchen, häufig ihre Sicherheitslösungen deaktivieren oder Systembenachrichtigungen bei der Installation der gedownloadeten Inhalte ignorieren.

Während der Großteil des Schadcodes, der auf Torrent-Webseiten gefunden wird, über neu eingerichtete Benutzerkonten, sogenannte Seeder, verbreitet wird, nutzt PirateMatryoshka bereits etablierte Seeder, die nicht für schädliche Aktivitäten bekannt sind. Dies sorgt für einen effektiven Verteilungsprozess, da potenzielle Opfer aufgrund der guten Reputation dieser Seeder keinen Zweifel daran haben, dass die Datei zum Download sicher ist.

Sobald ein Nutzer auf das Installationsprogramm klickt, beginnt der Infektionsprozess von PirateMatryoshka. Zunächst wird dem Opfer eine Kopie der Webseite von Pirate Bay angezeigt, bei der es sich  in Wahrheit um eine Phishing-Seite handelt, in der er aufgefordert wird, seine Anmeldeinformationen für die Installation einzugeben. Später verwendet die Malware diese Anmeldeinformationen, um neue Seeder zu erstellen, die PirateMatryoshka wiederum weiterverteilen. Die Phishing-Webseite wurde bisher rund 10.000 Mal aufgerufen.

Allerdings wird die Infektion auch dann fortgesetzt, wenn keine Anmeldedaten eingegeben werden. Die Malware lädt weitere schädliche Module nach. Zu diesen gehört ein schädlicher Klicker, der unter anderem das Kontrollkästchen „Zustimmen“ aktivieren kann, durch das eine Adware-Installation ausgelöst und das Gerät des Opfers mit unerwünschter Software überflutet wird. Etwa 70 Prozent der installierten Programme sind Adware wie pBot, bei weiteren 10 Prozent handelt es sich um Malware, die andere Schadprogramme wie beispielweise einen weiteren Trojaner nachladen kann.

PirateMatryoshka kombiniert ausgereifte, multifunktionale Malware mit effektiver Verteilungsfunktionalität für eigenen und anderen bösartigen Code.

„Wir sehen häufig mehrschichtige Malware, wie etwa Dropper oder bösartige Installer, die mehr als ein Programm auf dem Gerät eines Nutzers installieren“, erklärt Anton V. Ivanov, Sicherheitsforscher bei Kaspersky Lab. „Bei PirateMatryoshka ist dieser Prozess jedoch komplexer; die Malware, die über die Adware auf den Computer eines Opfers gelangt, kann zusätzliche Installationsprogramme mitbringen, die noch mehr Malware nachladen. Es handelt sich hierbei um eine ziemlich weit fortgeschrittene Methode, wenn man bedenkt, dass das ein ungezielter Massenangriff ist, der eine Phishing-Komponente zur weiteren Verbreitung enthält.“

Sicherheitstipps von Kaspersky Lab

  • Nur legitime Software nutzen, die von offiziellen Webseiten heruntergeladen wird.
     
  • Auf die Authentizität der Webseite achten; wird an der Legitimität einer Webseite gezweifelt, diese nicht aufrufen.
     
  • Zuverlässige Sicherheitslösungen verwenden, die Anmeldeinformationen sicher automatisch ausfüllen und umfassenden Schutz vor einer Vielzahl von Bedrohungen bieten. Lösungen wie Kaspersky Password Manager oder Kaspersky Security Cloud schützen Passwörter, Daten und Geräte; die Kaspersky-Produkte erkennen PirateMatryoshka als Trojan-Downloader.Win32.PirateMatryoshka und Trojan.Win32.InstClick.

Mehr Informationen zu PirateMatryoshka finden Sie hier.

www.kaspersky.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!