Hinter einer scheinbar offiziell herausgegebenen Coronavirus-Karte verbirgt sich offensichtlich eine Malware-Variante, die sich die aktuelle Krisensituation zunutze macht. Das berichten Cybersicherheitsforscher. Die neue Angriffsvariante macht sich offenbar zunutze, dass Menschen derzeit vermehrt nach zuverlässigen Informationen über die Verbreitung von Corona suchen.
Hacker schrecken offenbar nicht einmal davor zurück, die verheerende Corona-Krise weltweit für kriminelle Zwecke auszunutzen. Wie Sicherheitsforscher in einem Bericht schreiben, zielt die Malware auf Nutzer, die im Internet nach Informationen zur Verbreitung des Virus suchen. Analysiert wurde die Malware von Experten der Sicherheitsfirma Reason Cybersecurity, nachdem das Malwarehunterteam die Bedrohung zuerst entdeckt hatte. Dieses Verhalten ist im Internet nichts Neues. Kriminelle greifen virale Themen häufig auf, um auf Opferfang zu gehen.
Corona-Informationen im Fokus
Die Hacker leiten den Nutzer in diesem Fall auf eine völlig vertrauenswürdig erscheinende Seite, die der Karte zur Ausbreitung des Coronavirus der Johns Hopkins University gleicht. Das Institut erfasst weltweit die Zahl der bestätigten Coronafälle und wird von Medien wie Regierungen als zuverlässige Quelle herangezogen. Diese Fake-Seite präsentiert die Ausbreitung des Coronavirus (auch als Covid-19 oder Sars-CoV-2 bekannt) auf einer täuschend echt erscheinenden Karte. Dabei macht sich die Malware im Hintergrund allerdings daran, sensible Daten des Nutzers auszuspähen, während dieser sich über die aktuelle Lage informiert. Die Malware zielt dabei auf Daten wie Passwörter oder Kreditkarteninformationen, die im Browser des Nutzers gespeichert sind. Zu den weiteren Zielen des Schadprogramms zählen unter anderem auch Cookies, Benutzerkennungen, der Browserverlauf oder Keys von Kryptowährungen. All diese Daten sind äußerst sensibel und können in den falschen Händen großen Schaden anrichten.
“Corona-virus.exe” installer -> “Corona-virus-Map\.com.exe” (2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307) -> different malware samples + decoy viewer.
Has “FiasskHard Work CLIPPER + STEALER” & something (AZO?) w/ C2: http://coronavirusstatus[.]space/index.php pic.twitter.com/rB8EkbL8pY— MalwareHunterTeam (@malwrhunterteam) March 3, 2020
Hacker nutzen bekannte Malware
Die Malware verbirgt sich in der Regel in einer Win32-Exe-Datei uns trägt in den meisten Fällen den Namen “Corona-virus-Map.com.exe”. Die Datei ist relativ klein und umfasst in den meisten Fällen ca. 3,26 MB. Beim Klick auf die Datei öffnet sich im Vordergrund die genannte Weltkarte mit Daten zur Verbreitung von Corona der Johns Hopkins University. Gleichzeitig werden im Hintergrund eine Vielzahl von Dateien heruntergeladen, die dann den Browser infizieren, um dort an sensible Daten zu kommen. Die Hacker machen sich hierzu eine lange bekannte Malware-Variante namens Azorult zunutze. Entdeckt wurde diese Malware erstmalig im Jahr 2016 und taucht seither bei verschiedenen Angriffen immer wieder auf. Hacker News berichtet unter anderem von einer Variante des Schadprogramms, das in der Lage sein soll, auf dem befallenen Gerät ein eigenes Konto mit Administratorenrechten anzulegen. Das würde eine Verbindung über ein Remote-Desktop-Protocol ermöglichen. Kernziel der Schadsoftware ist die Erlangung sensibler Daten der PC-Nutzer.
Keine Gefahr durch offizielle Quellen
Auch wenn sich Nutzer das Design offizieller Quellen zunutze machen, gibt es keinen Grund, den originalen Quellen zu misstrauen. Das Design der Kriminellen orientiert sich an der Karte, die Live-Ausbreitung und Fallzahlen von Covid-19 weltweit darstellt. Auf der linken Seite sind die bestätigten Fälle in Echtzeit nach den jeweiligen Ländern aufgelistet. Auf der rechten Seite gibt Statistiken zu Todesfällen und Genesungen. Auch der interaktive Charakter der Originalkarte ist täuschend echt nachgebaut. So gibt es Links zu weiterführenden Informationen und zahlreiche Tabs mit zusätzlichen Datenauswertungen. Auch der Inhalt gibt zunächst keinen Anlass zum Zweifeln. Es handelt sich nicht um gefälschte oder zufällig zusammengewürfelte Informationen. Stattdessen greifen die Cyberkriminellen auf echte Daten der Johns Hopkins University zurück und lassen ihre Attacke damit besonders vertrauenswürdig erscheinen. An dieser Stelle sei noch einmal besonders darauf hingewiesen, dass die Original-Quelle online zur Verfügung steht und keinerlei Schadprogramme lädt oder durch gefährliche Hintertüren angreift. Die echten Seiten des Instituts sind für Nutzer völlig ungefährlich.
Wie lässt sich die Ausführung des Schadprogramms erkennen?
Die Ausführung der Corona-virus-Map.com.exe Datei hat zur Folge, dass sich die Corona-virus-Map.com.exe multipliziert und zudem zahlreiche weitere Dateien wie Corona.exe, Build.exe, Bin.exe oder Windows.Globalization.Fontgroups.exe auf dem Rechner verbreiten. Diese werden ebenfalls ausgeführt und verbinden dann das Gerät mit verschiedenen URLs. Bei dieser Auflistung handelt es sich nur um einen kleinen Teil der Dateien, die durch die Schadsoftware ausgeführt werden. All diese Aktivitäten zielen auf das Abschöpfen sehr vieler verschiedener Informationen aus dem infizierten Gerät.
Was schützt gegen die Coronavirus Malware?
Zum Schutz gegen die Ausbeutung Informationssuchender empfehlen die Analysten des Cybersicherheits-Dienstleisters, eine aktuelle Anti-Malware Software auf dem Rechner installiert zu haben. Diese würde den Angriff sofort erkennen und automatisiert stoppen. Generell sollten Nutzer aber stets einen zweiten Blick auf Quelle und Dokument werfen, wenn sie Dateien aus dem Internet herunterladen und auf dem Rechner deren Ausführung starten. Hinweise können sein, dass die URL, die im Browser angezeigt wird, nicht der tatsächlichen Adresse der gewünschten Quelle entspricht. Auch sollten Nutzer kurz darüber nachdenken, ob für die gewünschte Aktion die Installation von Software auf dem eigenen Rechner erforderlich ist. Häufig will man schließlich nur Informationen direkt im Browser ansehen. Dazu ist es in der Regel nicht erforderlich, ein Programm auf den eigenen Rechner zu laden und auszuführen. Ohne ein starkes Sicherheitstool auf dem eigenen Rechner ist das Erkennen und Entfernen der Malware nahezu unmöglich.
Welche Antivirus-Programme schützen effektiv gegen die Attacke?
Zuerst entdeckt hatte die Bedrohung ein Analyst für die Cybersecurity Firma Reason Cybersecurity. Es ist daher nicht verwunderlich, dass in der Analyse die Antivirus Software von Reason als effektiver Schutz gegen die Malware angepriesen wird. Sicherlich wurde das Programm sofort nach Entdeckung auf den neuesten Stand gebracht und bietet einen effektiven Schutz. Andererseits wurden die Informationen unverzüglich durch die Analysten veröffentlicht, sodass auch alle anderen zuverlässigen Antivirus-Programme mittlerweile auf dem aktuellsten Stand sein sollten. Es ist daher davon auszugehen, dass alle bekannten Sicherheitsprogramme effektiv gegen die Bedrohung schützen. Vorausgesetzt ist allerdings, dass die Software regelmäßig aktualisiert wird.
Vorsicht besonders in der Krise geboten
in Krisenzeiten ist meist besondere Vorsicht geboten. Das betrifft Sicherheitsvorkehrungen online wie offline. Kriminelle nutzen den menschlichen Instinkt aus, in unsicheren Zeiten möglichst viele gesicherte Informationen zu erhalten. In diese Kerbe schlägt auch die Malware mithilfe der Karte zur Ausbreitung des neuartigen Sars Virus. Aus diesem Grund müssen Nutzer bei der Informationsbeschaffung besonders vorsichtig sein, immer prüfen, ob die aufgerufenen Seiten wirklich zuverlässigen Quellen entsprechen und Dateien stets mit einem wachen Auge herunterladen. Nur so können sich Nutzer effektiv vor Angriffen schützen. Es genügt daher nicht, sich in der Welt draußen vor einer Ansteckung durch das neuartig Virus zu schützen. Auch Online drohen Gefahren für deren Abwehr Nutzer sorgen müssen.