„In manchen Fällen ist es einfach zu erkennen, worauf es der Cyberkriminelle abgesehen hat und warum er sich für eine bestimmte Vorgehensweise entschied, um sein Ziel zu erreichen. In diesem Fall trifft dies nicht zu.“ – Dieses Zitat von Andrew Brandt, Principal Threat Researcher bei Sophos, macht schon deutlich, dass beim jüngsten Fund der SophosLabs nicht die üblichen, kriminellen Taktiken und Interessen im Fokus stehen. Bei der kuriosen Malware handelt es sich um ein Schadprogramm, dass Filesharing-Nutzer angreift und diesen den Zugang zu Piraterie-Seiten blockiert. Die kriminellen Entwickler haben ihre Malware als geknackte Versionen beliebter Online-Spiele wie “Minecraft” oder “Among us” oder als Anwendungen wie Microsoft Office getarnt Über die BitTorrent-Plattform wird sie von einem von der digitalen Filesharing-Website „ThePirateBay“ gehosteten Konto angeboten. Einmal installiert, blockiert die Schadsoftware den Zugang des Nutzers für eine lange Liste von Webseiten, darunter zahlreiche Portale, die raubkopierte Software verbreiten.
Die “etwas andere” Malware wartet mit folgenden Besonderheiten auf:
- Die Angreifer nutzen einen uralten Ansatz, bei dem sie die Einstellungen der Hosts-Datei auf einem infizierten Gerät ändern, um zahlreiche Webseiten „lokal zu hosten“.
- Einige der hundert Webseiten, die derart gehostet sind, haben mit raubkopierter Software gar nichts zu tun, manche sind sogar inaktiv oder seit 2012/2013 geschlossen.
- Die schadhaften Dateien sind für 64-bit Windows 10 kompiliert, dann aber mit gefälschten digitalen Zertifikaten signiert, die nicht einmal einer sehr rudimentären Prüfung standhalten können.
- Einmal heruntergeladen und installiert, geht die Malware auf die Jagd nach Dateien mit Namen 7686789678967896789678 und 412412512512512. Sobald diese gefunden werden, stoppt der Angriff. Die Sophos-Forscher vermuten, dass diese Konstruktion die Cyberkriminellen selbst vor einer Infektion mit ihrer Kreation schützen soll.
- Die Malware löst eine gefälschte Fehlermeldung aus, wenn sie ausgeführt wird. Sie fordert den Anwender auf, die Software neu zu installieren. Nach Meinung unserer Analysten ein Versuch zur Verschleierung.
Wer den kompletten Bericht aus den Labs inlusive zahlreicher Screenshots anschauen will, kann das hier tun:
Vigilante malware rats out software pirates while blocking ThePirateBay