Trittbrettfahrer springen auf den Locky-Zug auf

Locky, eine sich schnell ändernde Ransomware, war mit seinem plötzlichen Auftauchen, mit einer kaum knackbaren Verschlüsselung sowie mit bekannten und namhaften Opfern ein gefundenes Fressen für die Medien. Zudem kam noch die Paranoia, ob aktuelle Sicherheitssoftware dieser Bedrohung überhaupt Herr werden könnte.

CaptureDas war eine denkbar ungünstige Situation. Und zwar nicht nur für die Opfer. Versetzen Sie sich in die Lage eines ehrgeizigen Cyberkriminellen, der nur eine ineffiziente Malware unter die Leute bringen kann. Erstens: Sie sind eifersüchtig. Zweitens: Sie suchen nach anderen Optionen. Drittens: Sie überlegen sich eine andere Strategie. Sie setzen emotionale Faktoren (Angst, Verunsicherung und Besorgnis) in Kombination mit einer vertrauenswürdigen und beruhigenden Nachricht ein, die von offiziellen Behörden stammt.

Das Ergebnis ist eine Phishing-Nachricht, die angeblich vom Bundeskriminalamt (BKA) herausgegeben wird. In dieser Nachricht werden Anwender informiert, dass ein Kit zur Entfernung von Locky zur Verfügung steht. Allerdings handelt es sich dabei um ein Downloadprogramm für einen Banking-Trojaner. „Hier wird bewusst die Angst vor Locky ausgenutzt, um Anwender mit weiterer Malware zu infizieren“, sagt Oscar Anduiza, Malware-Analyst bei Avira.

Schrecken denn diese Kriminellen vor gar nichts zurück?

Die E-Mail-Nachricht sieht echt und aktuell aus, die Malware selbst ist aber nicht ganz neu. „Das ist quasi bekannte Malware im neuen Gewand“, so Anduiza. Obwohl dieser Phishing-Versuch neu und frisch daherkommt, hat Avira ihn von Anfang an demaskiert. So sieht das Logo des gefälschten Tools aus.

Im Gegensatz zu Locky werden Ihre Dateien nicht verschlüsselt, aber die Malware versucht Folgendes:

Diebstahl von gespeicherten Webseiten-Kennwörtern aus Browsern wie Internet Explorer, Google Chrome, Firefox oder Opera.

Diebstahl gespeicherter Kontodaten wie Servernamen, Portnummern, Anmeldedaten von FTP-Clients und Cloud-Speicher-Programmen.

Senden aller gestohlenen Daten an einen Remote-Server.

Hinzufügen mehrere Kopien dieser Malware auf den Computer:

c:\Users\%user%\AppData\Local\sysmon.exe (versteckte Datei)

c:\Users\%user%\AppData\Roaming\sysmon.exe (versteckte Datei)

c:\Users\%user%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\WinUpdate.exe

Vornehmen von Änderungen in der Registry, um sich selbst weiter auszuführen und zu verbergen:

Ein Registry-Schlüssel wird erstellt, der beim Start von Windows ausgeführt wird: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – “System Monitor”=”C:\Users\%user%\AppData\Local\sysmon.exe”

Ändern des Registry-Werts, um Dateien zu verstecken: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced – “Hidden” = “02”

Was lernen wir daraus?

Cyberkriminelle sind trendbewusster als jedes Laufstegmodel. Innerhalb weniger Tage haben sie eine erfolgreiche Malware kopiert und in Verkehr gebracht.

Der Schutz vor solcher Malware beginnt deshalb bereits bei Ihnen selbst. Der gesunde Menschenverstand ist eine wichtige Sicherheitsmaßnahme: Im Zweifelsfall nie klicken.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.