Categories: SicherheitVirus

Hacker nutzen COVID-19-Pandemie zur Verbreitung datenlöschender Malware

Sicherheitsforscher haben mehrere Malware-Varianten entdeckt, die die COVID-19-Pandemie zu ihrer Verbreitung nutzen, um Daten auf PCs zu zerstören. Derzeit sind mindestens fünf solcher Kampagnen aktiv, die entweder massenhaft Dateien löschen oder den Master Boot Record (MBR) überschreiben.

Den Master Boot Record nimmt eine Schadsoftware ins Visier, die das MalwareHunterTeam in einem Bericht von Sonicwall beschreibt. Sie infiziert ein System in zwei Schritten: Zuerst erscheint eine Meldung, die auf ein Problem mit einem Update-Server verweist. Während ein Nutzer vergeblich versucht, diese Meldung wegzuklicken – die Malware deaktiviert im Hintergrund den Task Manager – wird unbemerkt vom Nutzer des MBR überschrieben.

Danach startet die Malware das System neu, wobei der neue MBR eingreift und den Nutzer in eine Pre-Boot-Umgebung leitet. „Ihr Computer wurde vernichtet“, heißt es dort lapidar. Abhilfe schaffen nun nur noch spezielle Tools, die in er Lage sind, den MBR wiederherzustellen oder neu aufzubauen.

Eine weitere Schadsoftware, die den MBR zerstört, nutzt diese Technik, um von ihrer eigentlichen Aufgabe abzulenken. Nach außen „tarnt“ sich die Malware als CoronaVirus Ransomware. Allerdings ist auch die Erpressersoftware nur Fassade. Tatsächlich haben es deren Hintermänner auf Anmeldedaten und Passwörter abgesehen. Wurde diese Aufgabe erledigt, startet das System neu, wobei wiederum ein neuer MBR eine Pre-Boot-Umgebung startet, die die gefälschte Lösegeldforderung anzeigt. Sie verhindert, dass Nutzer den Diebstahl ihrer Login-Daten erkennen und Gegenmaßnahmen ergreifen.

Entdeckt wurde diese Malware vom Sicherheitsforscher Vitali Kremez von Sentinel One. Zwei Wochen später meldete der deutsche Anbieter G Data eine Variante, die sich als Screenlocker tarnt und ebenfalls den MBR überschreibt.

Das MalwareHunterTeam fand zudem zwei schädliche Anwendungen, die Dateien auf PCs löschen – allerdings nicht sehr effizient. Die erste Variante ist demnach schon seit Februar im Umlauf, die zweite erst seit wenigen Tagen. Beide setzen offenbar auf zeitraubende und fehleranfällige Methoden zur Datenlöschung. MalwareHunterTeam betont jedoch, dass beide Schadanwendungen trotzdem in der Lage sind, Dateien unwiederbringlich zu zerstören, weswegen sie als gefährlich einzustufen seien.

Warum die Hintermänner auf Malware setzen, die keine finanziellen Ziele verfolgt, ist nicht bekannt. Allerdings sind solche rein destruktiven Schädlinge keine Seltenheit. Schon beim WannaCry-Ausbruch vor drei Jahren gab es zahllose Varianten, die Dateien verschlüsselten, ohne ein Lösegeld zu fordern.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago