Raubkopierer leben gefährlich

Diebe attackieren Diebe. Die Sicherheitsanalysten des Zsacler ThreatLabZ-Teams stießen auf gefälschte Webseiten für Raubkopien unlängst auf Kampagnen zur Verbreitung von Infostealer-Malware. Diese Verbreitungsart von Schadcode zielt auf Personen ab, die wissentlich auf einer illegalen Plattform eine Raubkopie herunterladen und deshalb nicht so genau darauf achten, was sie damit im Hintergrund auf die Festplatte ziehen. Dieses Verhalten bezahlen sie im Fall der nun aufgedeckten Malware-Kampagnen mit der Preisgabe von privaten Informationen, die im Nachgang für weitere kriminelle Machenschaften genutzt werden können.

Vor mehr als 20 Jahren erblickte mit Napster die wohl bekannteste Raubkopierbörse für Musik das Licht des Internets. Nachfolger wie Pirate Bay erweiterten die Medieninhalte um Filme, Serien oder Software. All diese Jahre später ist es trotz zahlreicher Gerichtsverfahren und einstweiliger Verfügungen immer noch weit verbreitet, dass Menschen raubkopierte Software von dubiosen Shareware-Seiten herunterladen, anstatt Lizenzen zu erwerben. Und das, obwohl es mittlerweile fast überall kostenlose Open-Source-Alternativen zu proprietärer Software wie Microsoft Office oder Adobe Photoshop gibt.

Heute werden Websites, auf denen gecrackte Software wie Microsoft Office und Windows-Installationsprogramme gehostet werden, in der Regel in den indizierten Google-Suchergebnissen und in Werbebannern angezeigt.

Obwohl in zahlreichen Gerichtsverfahren viele der gängigen Webbörsen inzwischen geschlossen wurden, gibt es nach wie vor Nachahmer und Trittbrettfahrer für Nutzer, die ein Investment oder Abo-Modell umgehen wollen. Nun suchen sich Cyberkriminelle ihre Opfer dort.

Das ThreatLabZ-Team analysierte nun einige Kampagnen, die zur Verbreitung von Infostealern auf Raubkopie-Webseiten setzen. Der Screenshot zeigt Google-Search Ergebnisse von gefälschten Raubkopierseiten, die denen für Software-Piraterie täuschend ähnlich sehen. Diese Kampagnen sind deshalb erfolgreich, da sie auf Personen abzielen, die im Zuge des illegalen Downloads von Software die Betrugsmasche von unterschiedlichen Pop-up-Fenstern nicht durchschauen.

Nach dem Klick zum Start des Downloads erfolgen unterschiedliche Redirects, die den Prozess der Erkennung verschleiern und schließlich zu der Seite mit dem Schadcode des Infostealers führen. Auf einer legalen Seite würde die Weiterleitung vermutlich die Alarmglocken läuten lassen. Besucher, die auf zweifelhaften Seiten unterwegs sind, könnten eher davon ausgehen, dass es sich dabei um einen Prozess des Geschäftsmodells von Shareware-Seiten handelt. Nachdem die User auf die finale Seite umgeleitet und der Download beendet wurde, verbirgt sich die Payload des Schadcodes in einer Zip-Archivdatei mit mehr als 10 MB Größe. Im untersuchten Beispiel ist die URL, die die Malware hostet, ein Open Directory mit mehr als 3000 schädlichen Zip-Archiven, die sich als typische Dateien von gehackter Software ausgeben.

Die Kampagnen zeigen, wie Angreifer das Verhalten der Benutzer durch die Verbreitung raubkopierter Software ausnutzen, um Infostealer-Schadprogramme zu verbreiten. Benutzer können diese Infektionen leicht verhindern, indem sie diese illegale Praxis vermeiden und nur legitime Webseiten besuchen und Software von vertrauenswürdigen Quellen beziehen.

Bewährte Praktiken:

Vermeiden Sie den Besuch nicht vertrauenswürdiger Websites, einschließlich solcher, die raubkopierte Software hosten

Installieren Sie keine raubkopierte Software auf Ihrem Gerät

Aktivieren Sie die Richtlinie zum Blockieren passwortgeschützter Dateien

Speichern Sie keine Anmeldeinformationen im Browser