Infostealer-Malware imitiert Raubkopie-Webseiten und infiziert Software-Piraten

Die Sicherheitsanalysten des Zsacler-ThreatLabZ-Teams stießen auf gefälschten Webseiten für Raubkopien unlängst auf Kampagnen zur Verbreitung von Infostealer-Malware. Diese Verbreitungsart von Schadcode zielt auf Personen ab, die wissentlich auf einer illegalen Plattform eine Raubkopie herunterladen und deshalb nicht so genau darauf achten, was sie damit im Hintergrund auf die Festplatte ziehen. Dieses Verhalten bezahlen sie im Fall der nun aufgedeckten Malware-Kampagnen mit der Preisgabe von privaten Informationen, die im Nachgang für weitere kriminelle Machenschaften genutzt werden können.

Vor mehr als 20 Jahren erblickte die wohl bekannteste Raubkopierbörse für Musik das Licht des Internets. Nachfolger wie Pirate-Bay erweiterten die Medieninhalte um Filme, Serien oder Software. Obwohl in zahlreichen Gerichtsverfahren viele der gängigen Webbörsen inzwischen geschlossen wurden, gibt es nach wie vor Nachahmer und Trittbrettfahrer für Nutzer, die ein Investment oder Abo-Modell umgehen wollen. Nun suchen sich Cyberkriminelle ihre Opfer dort.

Das ThreatLabZ-Team analysierte nun einige Kampagnen, die zur Verbreitung von Infostealern auf Raubkopie-Webseiten setzen. Der Screenshot zeigt Google-Search-Ergebnisse von gefälschten Raubkopierseiten, die denen für Software-Piraterie täuschend ähnlich sehen. Diese Kampagnen sind deshalb erfolgreich, da sie auf Personen abzielen, die im Zuge des illegalen Downloads von Software die Betrugsmasche von unterschiedlichen Pop-up-Fenstern nicht durchschauen.

Nach dem Klick zum Start des Downloads erfolgen unterschiedliche Redirects, die den Prozess der Erkennung verschleiern und schließlich zu der Seite mit dem Schadcode des Infostealers führen. Auf einer legalen Seite würde die Weiterleitung vermutlich die Alarmglocken läuten lassen. Besucher, die auf zweifelhaften Seiten unterwegs sind, könnten eher davon ausgehen, dass es sich dabei um einen Prozess des Geschäftsmodells von Shareware-Seiten handelt. Nachdem die User auf die finale Seite umgeleitet und der Download beendet wurde, verbirgt sich die Payload des Schadcodes in einer Zip-Archivdatei mit mehr als 10 MByte Größe. Im untersuchten Beispiel ist die URL, die die Malware hostet, ein Open-Directory mit mehr als 3000 schädlichen Zip-Archiven, die sich als typische Dateien von gehackter Software ausgeben.

Die Kampagnen zeigen, wie Angreifer das Verhalten der Benutzer durch die Verbreitung raubkopierter Software ausnutzen, um Infostealer-Schadprogramme zu verbreiten. Benutzer können diese Infektionen leicht verhindern, indem sie diese illegale Praxis vermeiden und nur legitime Webseiten besuchen und Software von vertrauenswürdigen Quellen beziehen.

Die komplette Analyse der aufgedeckten Malware-Kampagnen ist im aktuellen ThreatLabZ-Blog nachzulesen.

#Zsacler