Erpresser-Malware im Namen von Polizeibehörden nimmt zu

Originalartikel von Loucif Kharouni, Senior Threat Researcher

Seit einiger Zeit ist ein Anstieg der Angriffe über Erpresser-Malware (Ransomware) im Namen von Polizeibehörden zu verzeichnen. Trend Micro liefert Einzelheiten dazu in The Police Trojan”.

Das Konzept hinter dieser Bedrohung ist ziemlich einfach: Die Cyberkriminellen blockieren den Zugriff des Anwenders auf seinen eigenen Computer und verlangen ein “Lösegeld” für die Freischaltung.

Diese Art des Angriffs wurde 2005 und 2006 zum ersten Mal in Russland beobachtet. Doch in den letzten Jahren übernahmen die Bösen auch in anderen Ländern dieses „Geschäftsmodell“. Sie nutzen Standortdaten und schicken den Anwendern eine, vorgeblich von einer lokalen Polizeibehörde kommende Nachricht, in der das Opfer einer Straftat beschuldigt wird, für die es ein „Bußgeld“ zu zahlen habe, damit der eigene PC wieder freigegeben wird.

Die Analyse der Bedrohung zeigte eine gewisse Ähnlichkeit mit den berüchtigten Fake-Antivirus-Angriffen. Die verschiedenen Banden erzeugen ihre eigenen Varianten, sie nutzen raffinierte soziale Engineering-Techniken, um die Opfer zum Bezahlen zu bewegen, und es gibt ständig neue Versionen. Angegliederte Programme dienen der Monetisierung der Bedrohung.

Trend Micro hat mindestens zwei verdächtige Gruppen ausgemacht, die in unterschiedlichen Ländern separate Programme mit den jeweils lokalen Bezahlarten zu diesem Zweck nutzen. Auch die Trojaner selbst unterscheiden sich.

Eine der Gruppen verwendet Server-Scripts für die Verwaltung der entsprechenden Scripts und Darstellungen, je nach Land des Opfers.


Eine zweite Gruppe nutzt eine andere Technik. Die Darstellungen und Scripts sind in Base64 PHP-Code eingebettet und werden im Unterschied zur ersten Technik nie separat heruntergeladen.


Kann das Land des Nutzers nicht ermittelt werden, so schicken die Kriminellen eine eher „konventionelle“ Nachricht, ähnlich den Benachrichtigungen bei FAKEAV-Angriffen.

Doch wie kommen die Cyberkriminellen zu ihrem Geld? Statt Kreditkarten zu verwenden, werden die Opfer aufgefordert, einen Voucher für elektronisches Bargeld zu kaufen. Dafür nutzen die Kriminellen vor allem zwei Anbieter, Ukash und paysefacard, beides legitime Provider von solchen Vouchern, die wie Bargeld genutzt werden können.

Die Cyberkriminellen verkaufen die Voucher für 40 bis 50 Prozent ihres Werts an eine Reihe von Exchange-Sites, die sie ihrerseits für bis zu 90 Prozent des Werts an Nutzer weitergeben.


Auch diese Angriffe beweisen wieder, wie Cyberkriminelle immer neue Geschäftsmodelle ersinnen, die lukrativer sind als die alten. Weitere Informationen zu dieser Art der Bedrohung gibt es unter:

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*