Die Sicherheitsexperten von Bitdefender haben eine Analyse des seit Mitte September 2014 kursierenden Trojaners „Redirector.Paco“ und des von ihm aufgebauten Botnetzes veröffentlicht. Die etwa 900.000 infizierten Systeme stehen vor allem in Indien, Malaysia, Griechenland, den USA, Italien, Pakistan, Brasilien und Algerien, richten ihnen zufolge aber auch in anderen Ländern beträchtlichen Schaden durch Klickbetrug an.
Laut den Bitdefender-Experten Cristina Vatamanu, Razvan Benchea und Alexandru Maximciuc führt die Malware einige „simple Registry-Änderungen“ durch. Beispielsweise modifiziert sie die Einstellungen für „AutoConfigURL“ und „AutoConfigProxy“ in den „Internet-Einstellungen“ eines Windows-Rechners. Bei jeder im Anschluss durchgeführten Suchanfrage wird dann eine PAC-Datei (Proxy Auto-Config) aufgerufen, die den Browser anweist, die Suchanfrage an eine bestimmte Adresse umzuleiten. Das bietet den Kriminellen die Möglichkeit, über Googles AdSense-Programm Geld zu verdienen. Die Geschädigten sind die Unternehmen, die über AdSense Anzeigen platzieren.
Offenbar kommt es den Klickbetrügern aber nicht darauf an, die Nutzer auszuspionieren oder Daten von ihnen zu sammeln. Stattdessen wollen sie nur deren Anfragen so lange wie möglich auf ihre Seiten umleiten. Um dies zu erreichen, unternehmen sie einiges, um die Suchergebnisse so authentisch wie möglich erscheinen zu lassen.
Dennoch gibt es Bitdefender zufolge einige Hinweise, die Nutzer Verdacht schöpfen lassen sollten. Beispielsweise werden unter Umständen in der Statusleiste des Browsers Nachrichten wie „Waiting for proxy tunnel“ oder „Downloading proxy script“ angezeigt. Außerdem dauere es ungewöhnlich lange, bis die Google-Seite geladen werde, und fehlten die bei der echten Google-Suche über den Seitenzahlen der Suchtrefferliste angezeigten mehreren gelben „o“.
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Die Malware gelangt üblicherweise über eine modifizierte MSI-Datei auf den Rechner. Diese Installationsdatei stammt laut Bitdefender ursprünglich von weit verbreiteten, legitimen Programmen wie WinRAR 5.2, WinRAR 5.11, YouTube Downloader 1.0.1, WinRAR 5.11 Final, Connectify 1.0.1, Stardock Start8 1.0.1 oder KMSPico 9.3.3 und wurde mit Hilfe von Advanced Installer manipuliert. Sie sorgt dann dafür, dass durch die geänderten Einstellungen jede Anfrage auf einer Seite, die mit https://www.google oder https://cse.google beginnt, zur IP-Adresse 93.*.*.240 über Port 8484 umgeleitet wird. Da die Anfrage über HTTPS erfolgt, werden Nutzer an dieser Stelle allerdings darauf hingewiesen, dass es Probleme mit dem Zertifikat dieser Seite gibt.
Doch auch daran haben die Kriminellen gedacht. Die Datei Update.txt lädt ein Root-Zertifikat herunter und installiert es, so dass jede Verbindung, die über eine in der PAC-Datei festgelegte Verbindung erfolgt, als sicher gekennzeichnet wird. Das Icon für das HTTPS-Protokoll in der Adressleiste des Browsers wird wie gewohnt angezeigt, um einen möglichen Verdacht der Nutzer an dieser Stelle zu zerstreuen. Lediglich wenn sie das Zertifikat prüfen – was in der Praxis aber nur sehr wenige tun –, stellen sie fest, dass als Herausgeber dort „DO_NOT_TRUST_FiddlerRoot“ angegeben ist.
[mit Material von Peter Marwan, silicon.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…