Sophos entdeckt kuriose Cyberattacke

Malware blockiert Zugang zu Filesharing-Portalen

25. Juni 2021, 08:30 Uhr   |  Anna Molder

Malware blockiert Zugang zu Filesharing-Portalen
© Wolfgang Traub

Der jüngste Sophos-Fund ist eine Malware, die Filesharing-Nutzende angreift und den Zugang zu Piraterieseiten blockiert. Die Entwickler haben ihre Malware als geknackte Versionen beliebter Online-Spiele wie Minecraft oder Among us getarnt oder als Tools wie Microsoft Office, Sicherheitssoftware etc. Über die BitTorrent-Plattform ist sie von einem von der Filesharing-Website „ThePirateBay“ gehosteten Konto angeboten. Einmal installiert, blockiert die Schadsoftware den Zugang zu einer lange Liste von Websites, inklusive zahlreichen, die raubkopierte Software verbreiten, so die Angabe des Sicherheitsspezialisten.

Besonders seltsam fanden die Sophos-Analysten, dass die Angreifer einen uralten Ansatz nutzen, bei dem sie die Einstellungen der Hosts-Datei auf einem infizierten Gerät ändern, um zahlreiche Websites „lokal zu hosten“. Außerdem haben einige der hundert Seiten, die derart gehostet sind, mit raubkopierter Software gar nichts zu tun, manche sind sogar inaktiv oder seit 2012/2013 geschlossen. Eine weitere Beobachtung war, dass die schadhaften Dateien für 64 Bit Windows 10 kompiliert, dann aber mit gefälschten digitalen Zertifikaten signiert sind, die nicht einmal einer sehr rudimentären Prüfung standhalten könnten.

Ein Prozessmonitor-Protokoll zeigt eine gefälschte Among-Us-Malware
© Sophos

Ein Prozessmonitor-Protokoll zeigt eine gefälschte Among-Us-Malware.

Einmal heruntergeladen und installiert, geht die Malware laut Sophos auf die Jagd nach Dateien mit Namen 7686789678967896789678 und 412412512512512. Sobald diese gefunden sind, stoppt der Angriff. Die Sicherheitsforscher vermuten, dass diese Konstruktion die Urheber selbst vor einer Infektion mit ihrer Kreation schützen soll. Darüber hinaus löst die Malware eine gefälschte Fehlermeldung aus, wenn sie ausgeführt ist. Sie fordert den Anwendenden auf, die Software neu zu installieren, laut Sophos ein Versuch der Verschleierung.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Sophos GmbH

Sophos

Malware