Schlüsselgeneratoren für Engineering- und wissenschaftliche Software führt zu FAKEAV

Originalartikel von Jeffrey Bernardin, Threat Researcher

In den letzten Wochen ist die Zahl der Infektionen via TROJ_GATAK gestiegen. Diese Schädlingsfamilie, die diesmal vor allem nordamerikanische Nutzer befallen hat, ist nicht sehr bekannt. 2012 fiel sie schon einmal auf, als Datei-Infectors zur Plage für niederländische Nutzer wurden. Die Schadsoftware tarnt sich derzeit als Schlüsselgenerator für verschiedene Anwendungen.

Zu den betroffenen Anwendungen gehören teure, spezialisierte Engineering- und wissenschaftliche Software aber auch Multimedia Editor-Tools, Benchmarking-Software und sogar Spiele:

  • AVEVA_PDMS_v12_0_keygen.exe
  • AllData_10_40_keygen.exe
  • Bigasoft_MKV_Converter_3_7_18_4668_keygen.exe
  • CambridgeSoft_ChemBioOffice_Ultra_v13_0_Suite_REMEDY_keygen.exe
  • Cockos_REAPER_4_581_Final_keygen.exe
  • Fireplace_3D_Screensaver_and_Animated_Wallpaper_3_0_keygen.exe
  • GeekBench_2_2_3_keygen.exe
  • Guaranteed_PDF_Decrypte_v3_11_keygen.exe
  • Macrium_Reflect_Professional_5_2_6433_keygen.exe
  • Magical_Diary_Horse_Hall_keygen.exe
  • Nuance_Dragon_Naturallyspeaking_12_0_Premium_Iso_keygen.exe
  • Oloneo_PhotoEngine_v1_0_400_306_keygen.exe
  • RadioSure_Pro_2_2_1004_0_keygen.exe
  • Reg_Organizer_6_11_Final_Portable_keygen.exe
  • The_Bat_Home_Edition_5_0_24_keygen.exe
  • The_Precursors_1_1_keygen.exe
  • Wolfram_Mathematica_9_keygen.exe

Trend Micro hat die Schadsoftware als TROJ_GATAK.FCK identifiziert. Lädt ein Nutzer diese Datei herunter und führt sie in dem Glauben aus, es sei ein Schlüsselgenerator, so legt der Schädling eine Datei im Verzeichnis %AppData% ab (ebenfalls TROJ_GATAK.FCK) und erzeugt einen entsprechenden Eintrag in der autostart-Registry.

Diese hinterlegte Datei gibt sich als legitime Datei mit Bezug zu Google Talk oder Skype aus. Alternativ nutzt sie den generischen Namen AdVantage.exe. Dann legt sie eine verschlüsselte Datei in ein nach dem Zufallsprinzip erzeugtes Verzeichnis unter %Application Data%\Microsoft ab. Diese wir später im Hauptspeicher entschlüsselt.

Die entschlüsselte Datei enthält Shell-Code und die URLs für das Herunterladen der Payload. Einige Varianten laden eine Image-Datei mit verschlüsseltem Code herunter. Das Bild scheint ein Foto aus Sri Lanka zu sein:


Bild. Heruntergeladenes Foto

Die Payload dieses Angriffs besteht aus gefälschter Antivirus-Software (FAKEAV), die wie üblich einen falschen Virus-Alert ausgibt und den Nutzer auffordert, für die Säuberung seiner Maschine zu zahlen. Diese Variante wurde als TROJ_FAKEAV.SMWV identifiziert.

Das Aufkommen gefälschter Antivirus-Software hat seit den Spitzenzeiten vor ein paar Jahren deutlich abgenommen (teils aufgrund des harten Vorgehens gegen die Zahlungssysteme). Danach tauchte die erste Polizei-Ransomware auf und vor nicht allzu langer Zeit CryptoLocker.

Trend Micro Smart Protection Network schützt Anwender vor dieser Bedrohung durch das Blockieren des Zugriffs auf alle damit verbundenen bösartigen URLs und verhindert das Herunterladen und Ausführen der verseuchten Dateien.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*