Hero Image

Vergiftete CCleaner-Suchergebnisse verbreiten Malware, die Informationen stiehlt

Quelle: bleepingcomputer.com (Englisch)

Malware, die Ihre Passwörter, Kreditkarten und Krypto-Geldbörsen stiehlt, wird über Suchergebnisse für eine Raubkopie des Windows-Optimierungsprogramms CCleaner Pro beworben.

Diese neue Malware-Verbreitungskampagne trägt den Namen "FakeCrack" und wurde von den Analysten von Avast entdeckt, die anhand der Telemetriedaten ihrer Kunden durchschnittlich 10.000 Infektionsversuche pro Tag feststellen. Die meisten dieser Opfer befinden sich in Frankreich, Brasilien, Indonesien und Indien.

Bei der in dieser Kampagne verbreiteten Malware handelt es sich um einen leistungsstarken Informationsdieb, der persönliche Daten und Kryptowährungswerte ausspähen und den Internetverkehr über Proxys leiten kann, die Daten abfangen.

Eine Black Hat SEO-Kampagne Die Bedrohungsakteure wenden Black-Hat-SEO-Techniken an, um ihre Malware-Verbreitungswebseiten in den Google-Suchergebnissen weit oben zu platzieren, so dass mehr Menschen dazu verleitet werden, mit Malware versehene ausführbare Dateien herunterzuladen.

Bei dem von Avast entdeckten Köder handelt es sich um eine geknackte Version von CCleaner Professional, einem beliebten Windows-Systemreinigungs- und Leistungsoptimierungsprogramm, das von vielen Benutzern immer noch als unverzichtbar angesehen wird.

Andere in dieser Kampagne missbrauchte Software sind Microsoft Office und Movavi Video Editor, die mit den Schlüsselwörtern "geknackt", "Serienschlüssel", "Produktaktivator" und "kostenloser Download" beworben werden.

Die vergifteten Suchergebnisse führen das Opfer durch mehrere Websites, die schließlich eine Landing Page anzeigen, auf der ein ZIP-Datei-Download angeboten wird. Diese Landing Page wird in der Regel auf einer legitimen Filehosting-Plattform wie filesend.jp oder mediafire.com gehostet.

Das ZIP-Archiv ist mit einer schwachen PIN wie "1234" passwortgeschützt, die lediglich dazu dient, die Nutzlast vor der Erkennung durch Antivirenprogramme zu schützen.

Die Datei innerhalb des Archivs heißt in der Regel "setup.exe" oder "cracksetup.exe", aber Avast hat acht verschiedene ausführbare Dateien in dieser Kampagne gesehen.

Eine gefährliche Malware, die Informationen stiehlt Die Malware-Opfer werden dazu verleitet, in Webbrowsern gespeicherte Informationen wie Kontopasswörter, gespeicherte Kreditkarten und Anmeldedaten für Kryptowährungs-Wallets zu stehlen.

Außerdem überwacht sie die Zwischenablage auf kopierte Wallet-Adressen und ersetzt sie durch solche, die unter der Kontrolle der Malware-Betreiber stehen, um Zahlungen umzuleiten. Diese Funktion zum Hijacking der Zwischenablage funktioniert mit verschiedenen Kryptowährungsadressen, einschließlich der Adressen für Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin und Bitcoin Cash.

Die Malware verwendet auch Proxys, um Anmeldedaten für Kryptowährungsmärkte zu stehlen, indem sie einen Man-in-the-Middle-Angriff durchführt, der für das Opfer nur sehr schwer zu erkennen oder zu realisieren ist.

"Die Angreifer waren in der Lage, eine IP-Adresse einzurichten, um ein bösartiges Proxy-Autokonfigurations-Skript (PAC) herunterzuladen", erklärt Avast in dem Bericht.

"Durch das Einstellen dieser IP-Adresse im System wird der Datenverkehr jedes Mal, wenn das Opfer auf eine der aufgelisteten Domains zugreift, an einen Proxy-Server unter der Kontrolle des Angreifers umgeleitet."

Dieser Proxy-Mechanismus wird über einen neuen Registrierungsschlüssel in "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" hinzugefügt.

Die Opfer können ihn deaktivieren, indem sie in den Windows-Einstellungen zu "Netzwerk & Internet" navigieren und die Option "Proxyserver verwenden" auf "Aus" setzen.

Die Kampagne ist bereits weit verbreitet, und die Infektionsraten sind hoch. Vermeiden Sie es daher, geknackte Software von irgendwo herunterzuladen, auch wenn die Download-Seiten bei der Google-Suche weit oben stehen.