G DATA warnt vor gefälschten Olympia-News und Blog-Links Options

von FeithComp vom 30.07.2020 - 279 Hits -

G DATA warnt aktuell vor „Breaking News“ mit Bezug auf die anstehende Olympiade in Peking. Seit dem gestrigen Vormittag schwemmt eine Spam-Welle mit Schlagzeilen, wie „terroristischer Anschlag auf die Olympischen Spiele in Peking aufgedeckt“, in die Postfächer, um Empfänger auf gehackte Webserver zu locken. Versprochen werden jeweils Videos des jeweiligen Ereignisses - die jedoch durch einen „fehlenden“ Codec nicht dargestellt werden. Unbemerkt vom Anwender wird per Drive-by-Download versucht einen Trojaner zu installieren, der weiteren Schadcode nachlädt. Die gesendete E-Mail besteht lediglich aus der Schlagzeile und dem eingebundenen Link. Mit einem deutlichen Anstieg derartiger Attacken ist in den kommenden Wochen zu rechnen.

Aufbau
Die Betreffzeile wird von den Tätern automatisch per Zufallsgenerator generiert. Nach Besuch der Webseite startet ein Drive-by-Dwonload - durch eine Sicherheitslücke wird hiermit versucht den Trojan-Downloader.Win32.Exchanger.hk auf Rechnern zu installieren.

Links weltweit in Blogs eingebunden
Die Online-Kriminelle haben bei der vorliegenden Attacke parallel zum Spam-Versand weltweit in Blogs Links zu den verseuchten Seiten hinterlegt. Die Schlagzeile sind mit denen der Spam-Mails identisch.


Schadfunktion
1. Der Schädling kopiert sich als CbEctSvc.exe in das Windows-Systemverzeichnis und trägt sich als Service in die Registry ein und wird bei jedem Systemstart mitgestartet: HKLMSYSTEMCurrentControlSetServicesCbEvtSvc

2. Der Prozess stellt eine Verbindung über Port 443 (SSL) her und lädt darüber weiteren Schadcode nach.

3. Der laufende Prozess verschickt wiederum massenhaft Mails mit den schon bekannten Sensations-Betreffzeilen, um weitere Opfer auf die entsprechenden Seiten zu locken.

4. Per Drive-By-Download wird auf dem befallenen System die gefälschte Antispyware-Suite "Antivirus XP 2008" installiert.
Diese findet natürlich wieder massenhaft (nicht vorhandene) Schädlinge, die man nur durch die kostenpflichtige "Vollversion" beseitigen kann: Kostenfaktor zwischen 50 und 100 Euro. Die Bezahlung erfolgt ausschließlich per Kreditkarte.

Täter und Ziele
Nach Einschätzung der G DATA Security Labs handelt es sich bei den Tätern um die Storm-Botnetz-Bande, die hierdurch versucht weitere Rechner in ihr Netz einzubinden und Kreditkarteninformationen zu stehlen.

Betreffzeilen der versendeten Mails
- US athletes banned from Beijing Olympics
- Olympics opening ceremony to be postponed
- Beijing postpones Olympics due to McCain-Dalai Lama meeting
- Terrorist threats on Beijing Olympics discovered
- Secret - Olympic torch continues journey - video
- Are Chinese gymnasts too young for Olympics?

Screenshot des angeblichen Schutzprogramms:

[Kommentar schreiben]

Ich möchte eine Frage im Forum stellen