FÜR NUTZER

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Suche
Suche

Support
Support 24/7 | Regeln zur Anfragenübermittlung

Schreiben Sie uns

Online-Formular

Telefon

+49 (0) 170 488 40 28

Forum

Ihre Anfragen

Neue Anfrage

Rufen Sie uns an

+7 (495) 789-45-86

Profil

DE

RU CN DE EN ES FR IT JP KZ UZ PL BY
Schließen
News

News nach thema

News über Viren & Co.
Die Wahrheit über Viren & Co.
Newsticker
Presse

Zurück zu News

Cyberkriminelle verbreiten gefährliche Backdoor als Google Chrome Update

Baden-Baden, 25. März 2020

Die Virenanalysten von Doctor Web informieren über die Kompromittierung einiger Websites - von Nachrichten-Blogs bis hin zu Unternehmensressourcen auf WordPress. Das in den Code der kompromittierten Seiten eingebettete JavaScript-Skript leitet Besucher auf eine Phishing-Seite um, wo Benutzern angeboten wird, ein wichtiges Sicherheitsupdate für den Chrome-Browser zu installieren. Bei der heruntergeladenen Datei handelt es sich um ein böswilliges Installationsprogramm, das es Angreifern ermöglicht, infizierte Computer fernzusteuern. Bis heute wurde das "Update" von über 2000 Personen heruntergeladen.

Laut Informationen von Doctor Web steht hinter dem Angriff eine Gruppe von Cyberkriminellen, die zuvor an der Verbreitung eines gefälschten Installationsprogramms des beliebten Videoeditors VSDC sowohl über die offizielle Website als auch über Kataloge von Drittanbietern beteiligt waren. Diesmal gelang es den Hackern, administrativen Zugriff auf das CMS einiger Websites zu erhalten, die in der Infektionskette verwendet werden. Ein in JavaScript geschriebenes Skript ist in die Seitencodes der kompromittierten Websites eingebaut und leitet Nutzer auf eine als offizielle Google-Ressource getarnte Phishing-Seite um.

#drweb

Die Auswahl der Benutzer basiert auf Geolokalisierung und Browserdefinition des Benutzers. Zur Zielgruppe gehören Besucher aus den USA, Kanada, Australien, Großbritannien, Israel und der Türkei, die den GoogleChrome-Browser verwenden. Es ist dabei zu beachten, dass die heruntergeladene Datei eine gültige digitale Signatur aufweist, die der eines gefälschten NordVPN-Installationsprogramms ähnlich ist. Diese wird auch durch dieselbe kriminelle Gruppe verbreitet.

Der Infektionsmechanismus ist wie folgt implementiert. Beim Start des Programms werden im Verzeichnis %userappdata% ein Ordner mit Dateien des TeamViewer-Fernverwaltungsprogramms angelegt und zwei kennwortgeschützte SFX-Archive entpackt. Eines der Archive enthält eine bösartige msi.dll-Bibliothek, die es ermöglicht, eine nicht autorisierte Verbindung zu einem infizierten Computer herzustellen, sowie eine Batch-Datei zum Starten des Chrome-Browsers über die Startseite von Google[.]com. Das Skript zur Umgehung des integrierten Virenschutzes von Windows wird aus dem zweiten Archiv extrahiert. Die böswillige msi.dll-Bibliothek wird vom TeamViewer-Prozess in den TeamViewer-Speicher geladen und verbirgt gleichzeitig ihre Arbeit vor dem Benutzer.

Mit der Backdoor können Angreifer Nutzlasten von bösartigen Apps auf infizierte Geräte liefern. Unter denen sind:

  • X-Key-Keylogger,
  • Predator The Thief,
  • Trojaner für die Fernverwaltung über das RDP-Protokoll.

Alle genannten Bedrohungen werden durch Dr.Web erfolgreich erkannt und stellen keine Bedrohung für Dr.Web Anwender dar. Eine Phishing-Seite mit schadhaftem Inhalt wurde der Liste der gefährlichen und nicht empfohlenen Websites hinzugefügt.

Kompromittierungsindikatoren

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare