Woche 35

Was Sicherheitsexperten derzeit den Schlaf raubt

Uhr
von Coen Kaat

Malware zeigt menschliches Verhalten, Cyberkriminelle bestehlen andere Cyberkriminelle und Pokémon goes evil: Die Redaktion hat die Neuigkeiten zu Cybercrime der Woche zusammengefasst.

(Quelle: Pixabay/DasWortgewand/CC0 Public Domain)
(Quelle: Pixabay/DasWortgewand/CC0 Public Domain)

Nicht nur Unternehmen leiden unter Cyberkriminellen. Auch die Cyberkriminellen selbst werden zuweilen Opfer ihrer Zunftgenossen. Die Sicherheitsexperten von Sophos haben diesen interessanten Trend im Darknet aufgedeckt, wie sie schreiben.

Auf der Website Leakforums entdeckten sie einen PHP-Remote-Acces-Trojaner namens Slick Rat. Die Untergrund-Website sei bei Kriminellen beliebt. Das Angebot kam von dem Benutzer Pahan12, wie Sophos mitteilt.

Die Malware verfügt jedoch über ein verborgenes Extra-Feature: Kriminelle, die den Trojaner einsetzen wollen, wurden mit einem Keylogger infiziert. Alle Passwörter, die sie damit stahlen, wurden wiederum vom Drahtzieher hinter Slick Rat gestohlen. Die Passwörter verkaufte dieser anschliessend ebenfalls im Darknet.

Derselbe Nutzer verkaufte schon zuvor infizierte Malware. So bot er laut Sophos im November 2015 das Malware-Scrambling-Tool Aegis Crypter an. Diese auch als Cryptoren bekannten Tools nehmen eine vorhandene Malware und modifizieren diese so, dass sie von Security-Programmen unentdeckt bleibt.

Pahan hatte das Tool jedoch mit dem Trojaner "Troj/Rxbot" aufgepeppt. Dieser verknüpft die infizierten Computer zu einem Netzwerk von Zombierechnern, wie Sophos schreibt. So wurde wohl der eine oder andere Cyberkriminelle auch Teil eines Botnetzes.

Die Sicherheitsexperten von Sophos fanden auch einen Screenshot. Dieser zeigt wohl Pahans eigenen Rechner, wie die Experten vermuten. Wie es scheint, infizierte Pahan sich selbst. Der Screenshot zeigt, was Pahan noch vorhaben könnte. So sieht man darauf etwa Ransomware, Scanner, Sniffer und Remote-Access-Tools.

 

Android-Trojaner in Shopping-Laune

Shuabang. Die Bezeichnung kommt aus China und beschreibt eine bestimmte Form bösartiger Werbekampagnen. Bei diesen lädt Malware auf Smartphones im Google Play Store Apps herunter oder hinterlässt positive Kommentare.

Der Schaden für den Nutzer scheint zunächst gering. Die Malware kann jedoch auch kostenpflichtige Apps erwerben, sofern der Nutzer seine Kreditkartendaten hinterlegt hat.

Die Trojaner, die hinter diesen Kampagnen stecken, gehen automatisiert vor. Sie wirken wie Roboter und werden folglich vom Play Store als solche erkannt und herausgefiltert. Nun entdeckten die Sicherheitsexperten von Kaspersky aber einen Sonderling: den Shuabang-Trojaner "Guerilla".

Guerilla kann Googles Anti-Betrugs-Mechanismen umgehen, indem er menschliches Verhalten vortäuscht. Der Trojaner verhält sich wie ein Mensch, der mit dem Store interagiert, wie Kaspersky mitteilt. So sucht er etwa zunächst nach der App, bevor er sie herunterlädt. Andere Shuabang-Trojaner senden direkt eine Download-Anfrage. Ferner verwendet Guerilla auch die Authentifizierungsdaten eines echten Nutzers – dem Besitzer des infizierten Smartphones.

 

Passwörter von Opera und Dropbox gestohlen

Dropbox und Opera Software, der Entwickler des gleichnamigen Webbrowsers, gaben bekannt, dass ihnen Passwörter gestohlen wurden. Wie Opera mitteilt, blockierten sie zwar einen Angriff. Sie gehen aber davon aus, dass gewisse Daten trotzdem entwendet wurden. Dazu gehören Passwörter und Kontoinformationen wie etwa Benutzernamen.

Opera speichert diese Daten nur in verschlüsselter Form. Als Sicherheitsmassnahme setzten sie dennoch alle Passwörter für Opera-Sync-Konten zurück und informierten die Benutzer, wie es in einer Mitteilung heisst. Dies betreffe 1,7 Millionen Personen. Wer Opera Sync nicht verwendet, braucht sich kein neues Passwort zu merken.

Der Dropbox-Hack liegt schon länger zurück. Dieser erfolgte 2012. Doch erfuhr das Unternehmen erst vor zwei Wochen davon und bestätigte den Angriff in dieser Woche. Insgesamt wurden 68 Millionen Anmeldedaten gestohlen, wie Dropbox mitteilt. Es seien jedoch keine Konten unsachgemäss genutzt worden.

Das Unternehmen hat ebenfalls bereits seine Nutzer darüber informiert und diese dazu aufgefordert, neue – möglichst starke – Passwörter anzulegen.

 

Wenn die Jagd auf Pokémon böse endet

Wohin man auch sieht, überall jagen Menschen derzeit auf ihren Smartphones nach imaginären Monstern – sogar die Genfer Polizei verfiel dem Pokémon-Fieber. Von dieser Beliebtheit wollen nun auch die Cyberkriminellen profitieren.

Derzeit kursieren zwei angebliche PC-Versionen des Mobile-Games mit dem Dateinamen Pokemongo.exe. Dahinter verbirgt sich jedoch Ransomware, wie Check Point mitteilt. Nach dem Befall verschlüsselt das Programm den Rechner. Die Lösegeldforderung wird per Bildschirmschoner angezeigt. Der Text ist in arabischer Schrift geschrieben.

Check Points Bericht baut auf einer Entdeckung von Michael Gillespie auf. Der Malware-Jäger hatte bereits Mitte August Erpressersoftware entdeckt, die sich als Pokémon-Go-Spiel ausgibt, wie Bleeping Computer damals berichtete.

Gemäss dem Bericht verfügt die Ransomware über gewisse besondere Eigenschaften. So installiert das Schadprogramm etwa einen Backdoor-Windows-Account namens "Hack3r". Über diesen könne der Autor der Malware zu einem späteren Zeitpunkt in den Rechner eindringen.