Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Cyberkriminelle verbreiten gefährliche Backdoor als Google Chrome Update

Baden-Baden, 25. März 2020

Die Virenanalysten von Doctor Web informieren über die Kompromittierung einiger Websites - von Nachrichten-Blogs bis hin zu Unternehmensressourcen auf WordPress. Das in den Code der kompromittierten Seiten eingebettete JavaScript-Skript leitet Besucher auf eine Phishing-Seite um, wo Benutzern angeboten wird, ein wichtiges Sicherheitsupdate für den Chrome-Browser zu installieren. Bei der heruntergeladenen Datei handelt es sich um ein böswilliges Installationsprogramm, das es Angreifern ermöglicht, infizierte Computer fernzusteuern. Bis heute wurde das "Update" von über 2000 Personen heruntergeladen.

Laut Informationen von Doctor Web steht hinter dem Angriff eine Gruppe von Cyberkriminellen, die zuvor an der Verbreitung eines gefälschten Installationsprogramms des beliebten Videoeditors VSDC sowohl über die offizielle Website als auch über Kataloge von Drittanbietern beteiligt waren. Diesmal gelang es den Hackern, administrativen Zugriff auf das CMS einiger Websites zu erhalten, die in der Infektionskette verwendet werden. Ein in JavaScript geschriebenes Skript ist in die Seitencodes der kompromittierten Websites eingebaut und leitet Nutzer auf eine als offizielle Google-Ressource getarnte Phishing-Seite um.

#drweb

Die Auswahl der Benutzer basiert auf Geolokalisierung und Browserdefinition des Benutzers. Zur Zielgruppe gehören Besucher aus den USA, Kanada, Australien, Großbritannien, Israel und der Türkei, die den GoogleChrome-Browser verwenden. Es ist dabei zu beachten, dass die heruntergeladene Datei eine gültige digitale Signatur aufweist, die der eines gefälschten NordVPN-Installationsprogramms ähnlich ist. Diese wird auch durch dieselbe kriminelle Gruppe verbreitet.

Der Infektionsmechanismus ist wie folgt implementiert. Beim Start des Programms werden im Verzeichnis %userappdata% ein Ordner mit Dateien des TeamViewer-Fernverwaltungsprogramms angelegt und zwei kennwortgeschützte SFX-Archive entpackt. Eines der Archive enthält eine bösartige msi.dll-Bibliothek, die es ermöglicht, eine nicht autorisierte Verbindung zu einem infizierten Computer herzustellen, sowie eine Batch-Datei zum Starten des Chrome-Browsers über die Startseite von Google[.]com. Das Skript zur Umgehung des integrierten Virenschutzes von Windows wird aus dem zweiten Archiv extrahiert. Die böswillige msi.dll-Bibliothek wird vom TeamViewer-Prozess in den TeamViewer-Speicher geladen und verbirgt gleichzeitig ihre Arbeit vor dem Benutzer.

Mit der Backdoor können Angreifer Nutzlasten von bösartigen Apps auf infizierte Geräte liefern. Unter denen sind:

  • X-Key-Keylogger,
  • Predator The Thief,
  • Trojaner für die Fernverwaltung über das RDP-Protokoll.

Alle genannten Bedrohungen werden durch Dr.Web erfolgreich erkannt und stellen keine Bedrohung für Dr.Web Anwender dar. Eine Phishing-Seite mit schadhaftem Inhalt wurde der Liste der gefährlichen und nicht empfohlenen Websites hinzugefügt.

Kompromittierungsindikatoren

Ihre Meinung ist uns wichtig!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2020

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden