Heise Sicherheits NewsAuf der Suche nach Antivirenprogrammen könnten Suchende auf gefälschten Webseiten landen. Die Antivirenspezialisten von Trellix – die frühere Business-Sparte von McAfee gehört zu dem Unternehmen – warnen, dass Kriminelle darüber Schad- anstatt der gesuchten Schutzsoftware verteilen. Anzeige Die gefälschten Seiten imitieren die Original-Webseiten weitestgehend. Sie liefern jedoch Malware anstatt Schutzsoftware aus. (Bild: trellix.com) Mitte April haben Mitglieder des Advanced Research Center von Trellix mehrere gefälschte Antivirus-Websites aufgespürt. Dort lagen sehr ausgeklügelte, bösartige Dateien als .apk, .exe oder vom Inno-Setup-System erstellte Installer. Deren Funktionen umfassen Spionage und Diebstahl. Zum Ziel hatten sie offenbar allgemein Endanwender, die auf der Suche nach Schutz für ihre Geräte waren. Gefälschte Seiten imitieren Webauftritte echter Antivirensoftware Die gefälschten Webseiten kopieren die Optik der originalen Webseite. Sie liefern jedoch Malware anstatt der gesuchte Software zum Schutz der Geräte aus, deren Dateinamen teils direkt zu dem gefälschten Unternehmen passen: Auf avast-securedownload[.]com lauerte demnach ein Avast.apk, bitdefender-app[.]com lieferte setup-win-x86-x64.exe.zip und malwarebytes[.]pro schließlich eine MBSetup.rar. Ohne zugehörige URLs zu nennen, haben derartige Webseiten auch eine gefälschte Trellix-Binärdatei verteilt, die den Namen AMCoreDat.exe trägt. Die APK-Datei mit dem Avast-Namen hat der Trellix-Analyse zufolge die Möglichkeit, nach Installation auf dem Smartphone Pakete zu installieren und löschen. Zudem kann die Malware Anrufprotokolle, SMS, gespeicherte Daten und den Telefonstatus lesen und schließlich auf den Netzwerk- und WLAN-Status zugreifen und letzteren ändern sowie Ton aufnehmen. Sie kann Screenshots aufnehmen und bringt einen Krypto-Miner sowie einen Ortungstracker mit. Die vermeintliche Bitdefender-Datei enthält den fortschrittlichen Lumma-Stealer. Der injiziert sich in die BitLockerToGo.exe des Systems und exfiltriert Informationen. Die Schadsoftware auf der gefälschten Malwarebytes-Seite enthält hingegen die StealC-Malware. Auch sie stiehlt Informationen, aber auch Zugangs- und Steam-Tokens. Die gefälschte Trellix-Software schleust Informationen etwa zum PC – Name, Nutzernamen, Speicher, laufende Prozesse, Log-in-Daten, Browser und Browserverlauf, Cookies und Tokens – an den Command-and-Control-Server (C2C). Die Virenanalysten nennen schließlich noch Hinweise auf eine Infektion (Indicators of Compromise, IOCs) zu der Malware sowie zu den C2C-Servern. Die genannten Webseiten sind derzeit nicht erreichbar. Webbrowser wie Chrome oder Firefox warnen zudem beim Aufruf vor betrügerischen respektive gefährlichen Webseiten. (dmk) Zur Startseite

weiterlesen: RSS Quelle öffnen