Frankfurt, 31. Oktober 2018
Im Oktober 2018 hat Doctor Web die Ergebnisse einer Recherche zur Tätigkeit eines Cyber-Kriminellen veröffentlicht. Die Zahl der geschädigten Opfer, die wegen der Betrugsaktionen mindestens 24.000 US-Dollar verloren haben, liegt bei ca. 10.000 Nutzern.
Im Laufe des Monats versendete eine Gruppe von Übeltätern E-Mails, in denen sie von Nutzern Geld für die Nicht-Veröffentlichung ihrer persönlichen Daten forderten. Die Cyber-Kriminellen konnten den Zugang zu einer Datenbank mit E-Mail-Adressen und Passwörtern der Nutzer erlangen und verschickten an diese E-Mail-Adressen Nachrichten, dass auf ihren Rechnern ein Schädling installiert sei und ihre Passwörter den Kriminellen längst bekannt seien. Für die Nicht-Veröffentlichung der persönlichen Daten verlangten die Erpresser ein Lösegeld in Bitcoins, das umgerechnet Beträgen in Höhe von 500 bis 850 US-Dollar entspricht.
Die Kriminellen nutzen dabei mehrere Bitcoin-Geldbörsen. Gemäß Informationen auf der Webseite blockchain.com sind mehrere Opfer auf das Angebot der Übeltäter reingefallen.
In letzter Zeit ist diese Erpressungsmethode bei Cyber-Kriminellen äußerst beliebt. Sie versenden massenhaft E-Mails mit Übereinstimmungen von Benutzernamen und Passwörtern. Die Erpresser setzen keine Viren oder Trojaner ein, um an die Daten zu gelangen. Nutzer können sich gegen solche Angriffe schützen, indem sie neue Passwörter anlegen.
Hauptereignisse
- Gefährlicher Cyber-Krimineller entlarvt
- Massenhafter Versand von Spam durch Erpresser
Bedrohung des Monats
Das Team von Doctor Web führte eine große Recherche durch und teilte deren Ergebnisse im Oktober. Im Rampenlicht der Recherche stand ein Cyber-Krimineller, der sich unter den Namen Investimer, Hyipblock und Mmpower versteckte. Dieser Bösewicht setzte in seinem kriminellen Geschäft ein breites Arsenal an Tools ein, u.a. Stealer, Downloader, Encoder und Miner mit dem integrierten Modul zur Unterschiebung der Inhalte aus der Zwischenablage.
Zum Spezialgebiet von Investimer gehörten Kryptowährungen. Die Methoden, mit denen er Kryptowährungen sammelte, sind vielfältig: Er entwickelte Webseiten von nicht existierenden Kryptobörsen, Mining-Farms, Partnerprogrammen und Online-Lotterien.
Das Beuteschema des Cyber-Kriminellen sah folgendermaßen aus: Der Betrüger lockte das Opfer auf verschiedenen Wegen auf eine böswillige Webseite, von der es ein vermeintliches Client herunterladen sollte. Unter dem Deckmantel des Clients versteckte sich ein Trojaner, der auf Befehl des Kriminellen weiteren Schadcode auf dem Rechner des Opfers installierte. Solche Programme (meistens waren es sogenannte Stealer) klauten aus dem infizierten System sensible Daten, die später zum Gelddiebstahl aus Krypto-Wallets und Bezahlungssystemen verwendet wurden.
Die Analysten von Doctor Web gehen davon aus, dass die Gesamtzahl von Nutzern, die wegen solcher Betrugsaktivitäten zu Schaden kamen, bei ca. 10.000 liegt. Die Schadenschätzung liegt bei etwa 24.000 US-Dollar. Dazu gehören auch 182.000 Dogecoins, was umgerechnet 900 US-Dollar entspricht. Mehr zu dieser Recherche finden Sie hier.
Serverstatistik von Doctor Web
- JS.BtcMine
- Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.
- Trojan.SpyBot.699
- Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.
- Trojan.Starter.7394
- Trojaner, der im infizierten System eine ausführbare Datei mit böswilligen Funktionen startet.
- Trojan.Encoder.11432
- Verschlüsselungstrojaner, der auch unter dem Namen WannaCry bekannt ist.
Malware im E-Mail-Traffic
- JS.BtcMine
- Trojaner, die zum verdeckten Schürfen von Kryptowährungen dienen.
- W97M.DownLoader
- Trojaner, die Schwachstellen in MS-Office-Apps ausnutzen und Malware auf Zielrechner herunterladen.
- Trojan.Encoder.26375
- Schädling, der Dateien auf dem Rechner verschlüsselt und Lösegeld für die Entschlüsselung fordert.
- Trojan.PWS.Stealer
- Familie von Trojanern, die auf dem infizierten Rechner Passwörter sowie andere sensible Daten klaut.
- Trojan.SpyBot.699
- Spyware, die Tastatureingaben abfängt, Befehle von Cyber-Kriminellen ausführt und vertrauliche Daten klaut.
Encoder
Support-Anfragen aufgrund von Encodern im Oktober 2018:
- Trojan.Encoder.858 — 20.04% Anfragen;
- Trojan.Encoder.11464 — 11.67% Anfragen;
- Trojan.Encoder.567 — 6.23% Anfragen;
- Trojan.Encoder. 25574 — 5.84% Anfragen;
- Trojan.Encoder.1539 — 4.86% Anfragen;
- Trojan.Encoder.5342 — 1.75% Anfragen.
Dr.Web Security Space für Windows schützt vor Encodern
Gefährliche Webseiten
Im Oktober 2018 wurden 156.188 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.
| September 2018 | Oktober 2018 | Wachstum |
|---|---|---|
| + 271,605 | + 156,188 | - 42.49% |
Malware für mobile Geräte
Anfang Oktober wurde ein neuer Trojaner namens Android.BankBot.1781 in die Virendatenbank von Doctor Web aufgenommen. Dieser kann Module von App-Diensten herunterladen und starten sowie den C#-Schadcode kompilieren und ausführen. Etwas später wurde auf Google Play eine Reihe von Schädlingen entdeckt, unter denen sich auch Android.FakeApp.125 und Android.Click.245.origin befanden. Diese Schädlinge zeigten z.B. verfälschte Webseiten an.
Ende Oktober wurden auf Google Play Downloader wie Android.DownLoader.818.origin und Android.DownLoader.819.origin entdeckt. Diese luden weitere Android-Trojaner auf mobile Geräte und installierten sie.
Außerdem erforschte das Analystenteam von Doctor Web die Trojaner Android.RemoteCode.192.origin und Android.RemoteCode.193.origin, die sich als harmlose Apps ausgaben.
Hauptereignisse in der mobilen Sicherheitsszene:
- Entdeckung von Schadcode auf Google Play;
- Verbreitung eines gefährlichen Banking-Trojaners, der den Schadcode blitzschnell kompilieren und ausführen kann.
Mehr zur Lage in der mobilen Sicherheitsszene erfahren Sie hier.
