tom's networking guide
 
Anzeige
Neue Krypto-Malware setzt Opfer unter Zeitdruck >
< Kabel Deutschland: Neue WLAN-Hotspots in Niedersachsen
28.07.14 15:40 Alter: 5 Jahre
Kategorie: Heim-Anwender, KMU, Administratoren, SOHO, Sicherheit, Security, Anti-Virus, Anti-Spam, Anti-Phishing, Hacking
Von: Maurice Hempel

Kaspersky Lab entdeckt neue Bestandteile der Koler-Ransomware

Die von Android-Geräten bekannte Erpresser-Software hat es nun auf PC-Nutzer abgesehen.


Kaspersky Lab Logo

Kaspersky Lab Logo

Kaspersky Infografik: Infrastruktur der Koler-Ransomware

Kaspersky Infografik: Infrastruktur der Koler-Ransomware

Moskau/lngolstadt - Kaspersky Lab hat bislang unbekannte Bestandteile der mobilen Ransomware Koler entdeckt. Dabei handelt es sich laut Aussagen der Sicherheits-Experten um Browser-basierte Ransomware-Programme sowie um ein Exploit-Kit, mit dem Hacker Software-Sicherheitslücken ausnutzen können, um das System ihrer Opfer zu kompromittieren. Die bislang unentdeckten Teile der Erpresser-Software haben es dabei insbesondere auf PC-Nutzer abgesehen. 

Ursprünglich war Koler als Erpresser-App auf Android-Geräten bekannt geworden, die sich in über 30 Ländern, darunter auch Deutschland, auf fast 200.000 mobilen Geräten verbreitet hatte. Seit dem 23. Juli 2014 ist der mobile Teil der Malware-Kampagne zwar außer Kraft gesetzt, allerdings sind die Komponenten für PC-Nutzer laut Kaspersky Lab nach wie vor aktiv.

Die Koler-Angriffe laufen nach einem bestimmten Schema ab: Im ersten Schritt scannen die Hintermänner die Systeme ihrer Opfer um in Erfahrung zu bringen, von welchem Ort und mit welchem Gerät (Smartphone oder PC) diese auf eine der insgesamt 48 verschiedenen Web-Seiten zugreifen, die Koler für seine Erpressungsversuche nutzt. Dabei handelt es sich ausschließlich um Web-Seiten mit pornografischem Inhalt. Unter Berücksichtigung dieser Faktoren kommt es im nächsten Schritt zu einer Umleitung auf einen zentralen Verteilerpunkt.

Von dem zentralen Verteilerpunkt aus wird mit Hilfe eines Traffic Distribution Systems (TDS) von Keitaro (Tool um den Internet-Datenverkehr über beliebige Seiten zu leiten) das weitere Vorgehen organisiert. Die Umleitungs-Infrastruktur kann zu drei möglichen Szenarien führen:

  1. Installation der mobilen Koler-Ransomware
    Falls der Zugriff von einem mobilen Android-Gerät erfolgt, leitet die Webseite den Nutzer automatisch auf die gefährliche App. Der Nutzer muss den Download sowie die Installation der Koler-Ransomware-App namens animalporn.apk bestätigen. Das Programm blockiert anschließend den Bildschirm des infizierten Geräts und fordert ein "Lösegeld" zwischen 100 und 300 US-Dollar, damit das Gerät wieder entsperrt wird. Um noch realistischer zu wirken, zeigt die Malware eine auf das Land angepasste Nachricht, die angeblich im Namen der Polizei verschickt wurde.
  2. Umleitung auf Browser-Ransomware-Webseiten
    Eine spezielle Routine prüft in drei Schritten ob der Browser-Client einem der 30 betroffenen Länder zugeordnet werden kann, ob der Nutzer ein Android-Smartphone besitzt und ob die Anfrage von einem Internet Explorer stammt. Stammt der Browser-Client aus einem der betroffenen Länder und werden zudem die letzten beiden Punkte verneint, sieht der Nutzer einen geblockten Bildschirm auf seinem Desktop, der identisch mit dem der mobilen Version ist. In diesem Fall findet allerdings keine Infizierung statt. Es wird lediglich ein Pop-up erzeugt, das den Bildschirm blockiert. Mit der Tastenkombination "Alt" und "F4"  lässt sich das Pop-up einfach umgehen.
  3. Weiterleitung zu einer Webseite, auf der sich das Angler Exploit Kit befindet
    Verwendet ein Nutzer den Internet Explorer, leitet die eingesetzte Umleitungs-Infrastruktur den Nutzer auf Seiten, die das Angler Exploit Kit beherbergen. Angler enthält Exploits für die Ausnutzung von Schwachstellen in Silverlight, Adobe Flash und Java. Während der Analyse von Kaspersky Lab war der Exploit-Code voll funktionsfähig. Allerdings wurde kein Schadcode gesendet. Die Kaspersky-Experten gehen jedoch davon aus, dass sich das in naher Zukunft ändern wird. 

Kaspersky Lab rät betroffenen Nutzern dazu, den Lösegeld-Forderungen der Betrüger auf keinen Fall nachzukommen. Zudem warnt der Sicherheits-Spezialist davor, mobile Apps von unbekannten Quellen auf dem Smartphone oder Tablet zu installieren, da sich hinter den Downloads Schad-Software verbergen kann. Weiterhin sollten Nutzer immer auf eine umfassende Sicherheits-Lösung setzen, die vor Malware-Angriffen wie dem Koler-Trojaner schützen können.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige