Größere Malware-Kampange entdeckt

Unter anderem Microsoft berichtet von einer größeren, weltweiten Malware-Kampange nun öffentlich. Die Malware hat bisher noch keinen Namen erhalten, gehört aber zur Gruppe „Adrozek“ – sogennanter Browser-Modifier mit Adware-Komponenten.

Die Malware wird wie üblich über gehackte Server verteilt (wieder mal ein Grund, warum auch „einfache“ Seiten ordentlich abgesichert werden müssen) und nach meinen eigenen Nachforschungen zum Teil in legitime Software-Downloads bzw. deren Installer / Setup Programme integriert. Microsoft und andere Quellen sprechen von „Drive-By Downloads“, ohne weiter in’s Detail zu gehen.

Nach der Installation nistet sich der Schädling einigermaßen tief in das System der Betroffenen ein (Persistence), in dem er sowohl die Registry verändert, Erweiterungen in vier gängige Browser installiert (Microsoft Edge, Google Chrome, Yandex Browser und Mozilla Firefox) und weitere Komponenten nachläd, welche dann wiederum versuchen, Zugangsdaten aus dem System zu entwenden, an den zugehörigen CC-Server zu schicken und das Entfernen der Browser-Komponenten zu verhindern. Ausserdem schaltet sie die automatische Update-Funktion der Browser aus. Für die Command & Control-Server werden gerne Botnetze, also bereits kompromitierte Server, verwendet – das scheint auch hier der Fall zu sein.

Interessanterweise sind die Browser-Erweiterungen der Malware sehr auffällig, sie integriert falsche Ergebnisse in die Google-Suche und soll so Click-Betrug, auch über offizielle Google-Adwords-Kanäle, provozieren. Das bedeutet: Wenn man etwas googelt, werden plötzlich neue Ergebnisse nachgeladen und auf den ersten Plätzen der Suchseite platziert, das ganze ist relativ auffällig und dürfte nur in wenigen Fällen zu langanhaltendem „Erfolg“ führen (zeigt aber schön, wo die gekauften Clicks zum Teil herkommen, siehe meinen anderen Artikel über Blackhat-SEO) Diese Ausgestalltung läßt bei mir jedoch die Vermutung aufkommen, dass die Quelle der Malware diese nicht selbst entwickelt, sondern über Baukasten-Systeme im Darknet erworben hat und über die Adware-Komponente versucht, die „Betriebsausgaben“ wieder einzuspielen. Microsoft bewertet die Malware jedoch anders und sieht die Adware im Vordergrund und den Zugangsdatendiebstahl als Nebeneffekt.

Durch die Ausgestaltung als Adware, also eine Schadsoftware, welche wie beschrieben in erster Linie auf das Geldverdienen durch Click-Werbung abzielt, kategorisieren namenhafte Stellen wie Microsoft die Malware in eine harmlosere Kategorie – wahrscheinlich auch, weil man von den jüngsten Ransomware-Attacken ein neues „Wort Case Scenario“ als Messlatte hat. Sie ist jedoch keineswegs harmlos. Unklar ist bisher, ob die Malware, welche auch Zugangsdaten aus Browsern entwendet, es schafft, Firefox Lockwise mit gesetztem Masterpasswort zu überlisten. Mozilla hat hierzu noch keine Stellung bezogen.

Ich selbst konnte vor einer Weile eine ähnliche anmutende Adware beobachten, die im offiziellen Download des Open-Source Audio-Editors „Audacity“ vorhanden war. Der Download war ebenfalls von der offiziellen Audacity Webseite. Diese Adware verhielt sich in Teilen sehr ähnlich, hatte jedoch keine weiteren Schadkomponenten, die Zugangsdaten stehlen. Es wäre möglich, dass es sich hierbei um einen Testlauf handelte, oder um einen Abkömmling aus dem gleichen Darknet-Baukasten. Es ist davon auszugehen, dass kleinere Open-Source Projekte nicht über die Kapazitäten verfügen, aktuellen Bedrohungen aus dem Netz standzuhalten und deshalb beliebte Opfer sind. Ich überlege derzeit, ob ich ein spendenfinanziertes Projekt anstarten soll, in dem ich ähnlichen, guten Projekten einen sicheren Hafen biete, habe aber aufgrund persönlicher Verpflichtungen hierzu noch keine Entscheidung getroffen.
Update: Ich habe mir für die Weihnachtsferien vorgenommen, eine exakte Analyse dieser Adware vorzunehmen und darüber separat zu berichten, sofern ich die Zeit finde.

Die beschriebene Schadsoftware reiht sich damit ein in eine Welle größerer Vorfälle 2020, Angriffe auf Impfstoff-Entwickler, auf große IT-Sicherheitsprovider in den USA und sogar staatliche Stellen weltweit. Der „Cyberwar“ ist im vollen Gange – um so unverständlicher vor diesem Hintergrund die kürzliche, stille Entscheidung der EU-Kommission, Verschlüsselungsmechanismen per Gesetz angreifbar zu machen. Über 90% aller Fachleute und IT-Interessenvertreter, auch Bitkom, haben sich entschieden gegen den Beschluss ausgesprochen. Verschlüsselung stellt im Kampf gegen IT-Sicherheitsvorfälle eine unverzichtbare Komponente dar, die Vorstellung ein „Hauptschlüssel“ würde in falsche Hände geraten wäre ein Katastrophen-Szenario unvorstellbaren Ausmaßes. Ich versuche ja immer Verständnis für alle zu haben (weshalb mich alle hassen), also auch für Sicherheitsbehörden, welche diese Befugnisse benötigen. Meine persönliche Meinung ist jedoch, dass man hier entschieden zu weit geht. Leider habe ich adhock auch keine Idee, wie man es besser machen kann, ich denke hier ist einfach mehr Feingefühl und weniger Sicherheitspolitik mit der „großen Keule“ gefragt, denn diese Regelungen werden vermutlich von der breiten Masse nicht akzeptiert werden und ob die technische Umsetzung möglich ist, ohne massive Sicherheitslücken aufzumachen, steht ebenfalls in den Sternen.

Wie können Sie sich schützen?

  • Natürlich alles updaten und up-to-date halten
  • Wenn Sie Zugangsdaten im Browser speichern (ich kann hierfür nur Firefox empfehlen), nutzen Sie das Master-Passwort!
  • Stellen Sie Windows-Defender scharf ein, KI-gestützte Systeme wie Defender sind hier das Mittel der Wahl, denn der Schädling nutzt Polymorphismus, ändert sich also selbst, um heuristischen / hashbasierten Suchen auszuweichen
  • Nutzen Sie UAC, auch wenn es umständlich ist
  • Bevorzugen Sie sichere Kanäle für Downloads, z.B. Heise Downloads oder der Microsoft Store (nicht dass ich davon ein großer Fan wäre, aber wenn es hilft..)

Wie merken Sie, dass Sie betroffen sind?

Die Malware ist wegen der Adware-Komponente schwer zu übersehen. Die injizierten Suchergebnisse auf Google haben recht auffällige Merkmale, haben eine ähnliche Anzahl an Fake-Bewertungen mit 5 Sternen, lauten auf eine sich wiederholende, kleine Menge von URLs (z.B. staubsauger-kaufen.tld/Meine-Suchanfrage) und stimmen eigentlich nicht wirklich mit der Suchanfrage überein. Ausserdem sieht man den Prozess des Nachladens, welcher mit einer kleinen Verzögerung stattfindet, also zuerst werden die richtigen Ergebnisse dargestellt, dann die Fake-Ergebnisse oben „reingeschoben“.

Inzwischen sollten auch die meisten Virenscanner Alarm schlagen, sofern sie nicht ausschließlich Signatur-basiert arbeiten.

Wie können Sie ein betroffenes System behandeln?

Trennen Sie umgehend die Netzwerkverbindung bei einem betroffenen System.

Prinzipiell sind derartige Ad- und Malware relativ einfach zu entfernen. Folgen Sie dem Artikel von Microsoft, um neu installierte und veränderte Komponenten aufzuspüren. Nutzen Sie die MS Sysinternal Tools, um gezielt Prozesse einzufrieren, und entfernen Sie die Browser-Erweiterung. Machen Sie so lange weiter, bis die Erweiterung nicht mehr neu installiert wird, dann haben Sie die Prozesse identifiziert und können die entsprechenden Dateien entfernen. Zusätzlich empfehlen sich gründliche Scans mit Defender oder 3rd Party Antivirus und Anti-Adware-Lösungen wie AdwCleaner. Wer sich sehr unsicher fühlt, sollte einen Fachmann beauftragen oder eine komplette Neuinstallation von Windows in Betracht ziehen.

Alternativ-Lösung von Microsoft empfohlen:
Versuchen Sie die ausführbaren Komponenten wie beschrieben aufzuspüren und zu löschen. Deinstallieren Sie alle betroffenen Browser (was bei Edge dank Microsoft nicht möglich ist) und installieren Sie die Browser neu.

Wenn Sie der Meinung sind, ihre Zugangsdaten könnten betroffen sein, ändern Sie diese einfach, Sie sind vermutlich in 30min damit fertig und brauchen sich dann keine Gedanken mehr zu machen.

Und danach?

Prinzipiell müssen Sie von nun an nichts anders machen (bzw. siehe obige Liste). Anders als bei Vorfällen, in denen zum Beispiel Sicherheitslücken ausgenutzt werden, sind hier ja nicht Sie der / die Betroffene, welche durch eine Sicherheitslücke angegriffen wurde, sondern eben Serverbetreiber, bei denen legitime Downloads verändert wurden. Diese jedoch sollten sich gründlich überlegen, wie sie Ihre System besser absichern.

Manuel Geissinger, zertifizierter IT-Sicherheitsexperte, Webedesigner aus Freiburg, Webentwickler, Administrator und Digitalkünstler.
Ihr freiburger Webentwickler Nr. 1 auf LinkedIn Zertifizierter IT Sicherheits-Experte & Webdesigner auf Xing