Es fängt alles damit an, dass der Computernutzer die angehängte .zip-Datei öffnet und die Datei mit dem Excel-Symbol, die sich darin befindet, ausführt. Das bringt einen Installationsprozess ins Rollen, der für den Bruchteil einer Sekunde eine Popup-Warnung anzeigt, die vor einem verdächtigen Root-Zertifikat der „COMODO Certification Authority“ warnt. Es ist also wie in vielen der richtig guten Filme und Serien – schaut man für eine Sekunde nicht hin, verpasst man das Beste. Es gibt hier nur ein Problem: Das Zertifikat ist nicht von Comodo.
Der Name zählt
„Comodo ist ein bekannter Name und sieht auf Zertifikaten einfach nicht verdächtig aus“, erklärt Oscar Anduiza, einer unserer Malware-Analysten. Comodo ist die größte Zertifikat-Autorität; einer der globalen „Vertrauensanker“ der ganz oben auf dem Vertrauensolymp steht und dafür verantwortlich ist, Identitäten und Berechtigungsstufen zu verifizieren.
Die Täuschung setzt sich in den anderen Reitern des Zertifikats fort und lässt es so aussehen, als ob es wirklich von Comodo kommt. Oscar Anduiza fügt hinzu: „Es ist im Internet wirklich einfach herauszufinden wie so etwas gemacht wird – aus offiziellen und nicht ganz so offiziellen Quellen.“
Einfach nur der Anleitung folgen
Für den Fall, dass der Downloader sich nicht automatisch öffnet oder von der Antivirensoftware des Empfängers gestoppt wird, stellt die Malware freundlicherweise auch gleich noch eine Anleitung zur Verfügung, mit der man das Problem beheben kann. Sie ist dem Trojaner als „readme.txt“ beigelegt. In ihr kann der Computernutzer detaillierte Anweisungen dazu finden, wie die Malware ausgeführt werden kann.
Hier ist eine Übersicht bezüglich des Inhalts:
- Klicken Sie einfach bei allem auf „Zustimmen“: Führen Sie einen Doppelklick auf die entpackte Datei aus. Sofort erscheint eine Standardwarnung von Windows – klicken Sie auf „Zustimmen“ und dann auf „Ausführen“. Wenn Sie einen PC mit Windows 10 oder Windows 8 haben, bekommen Sie eine Standardwarnung Smart Screen. Im dem aufgetauchten Fenster klicken Sie auf „Weitere Informationen“ – > „trotzdem herunterladen“ und die Datei wird heruntergeladen werden.
- Schalten Sie ihre Firewall aus: Einige Antiviren/Firewalls und andere Programme können alle Dateien aus Internet blockieren. Wenn Ihr Antivirus/Firewall/Brandmauer die Datei blockiert, fügen Sie diese Datei zu der Ausnahmenliste hinzu und führen Sie die Datei zwangsweise aus. Oder Sie können auch Antivirus/Firewall/Brandmauer vorübergehend abschalten, die Datei ausführen und danach Antivirus/Firewall/Brandmauer wieder aktivieren.
„Sie wollen wirklich sichergehen, dass das Gerät „richtig“ infiziert wird“, sagt Anduiza. „Diese Anleitung ist so ziemlich genau das Gegenteil von dem, was ein Computernutzer eigentlich tun sollte.“
Die readme.txt-Datei ist in etwas holprigem Deutsch geschrieben, aber auf den ersten Blick würde man nicht meinen, dass sie aus einem Übersetzungstool, wie zum Beispiel Google-Translate, stammt. Das deutet darauf hin, dass sie extra für den deutschen Markt geschrieben wurde. Es ist zudem gut vorstellbar, dass eine solche Version ebenfalls für Englisch und andere Sprachen existiert.
„Diese Anleitung gibt Cyberkriminellen eine zweite Chance ihr Programm erfolgreich installieren zu lassen, nachdem es von dem Antivirenprogramm blockiert wurde“, merkt er an. „Das ist ein sehr interessanter Social Engineering-Trick, vor allem weil der Downloader und die Malware selbst nicht besonders ausgeklügelt sind.“
Die Malware lädt eine bösartige Datei von einer kompromittierten URL (in diesem Fall hxxp://lebensbau.de/%%/dftrxtretxetxer.exe) herunter. Die Datei wird auf dem Computer an drei Orte kopiert, von denen einer der Ordner „Systemstart“ ist. Damit wird sichergestellt, dass sie jedes Mal ausgeführt werden kann, wenn der PC hochgefahren wird.
- c:\ProgramData\VCFKARJR.com
- c:\Users\All Users\VCFKARJR.com
- c:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif
Anfang März hat es sich bei der installierten Malware übrigens um einen Trojaner gehandelt, der Bankinformationen stiehlt. Die heruntergeladene Malware wird von Avira als TR/Crypt.XPack.xxx entdeckt.