- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Die Schadsoftware ist in Skins enthalten


Avast warnt: Spieler von Minecraft sind von Malware in modifizierten "Skins" bedroht
Alle Spieler sollten einen Virensuchlauf durchführen

- Anzeigen -





Eine 30-Tage-Datenanalyse von Avast ergab, dass nahezu 50.000 Minecraft-Accounts mit Malware infiziert wurden. Die Schadsoftware kann Festplatten neu formatieren und Backups und Systemprogramme löschen. Das verseuchte Powershell-Script, das die Sicherheitsexperten des Avast Threat Labs entdeckt haben, wird mit Hilfe der Minecraft "Skins" in Form von PNG-Dateien verbreitet. Diese Skins sind beliebte Features, um das Aussehen eines Minecraft Avatars zu verändern. Sie können von diversen Online-Quellen auf die Minecraft-Website hochgeladen werden und stehen dann für die Spieler zum Download bereit.

Die Schadsoftware an sich ist relativ unspektakulär und eine Anleitung, die Schritt für Schritt erklärt, wie sich diese mit Notepad erstellen lässt, ist im Internet zu finden. Daher liegt es nahe, dass es sich bei den Entwicklern nicht um professionelle Internetkriminelle handelt.

Weitaus besorgniserregender ist die Frage, wie die Schadsoftware problemlos auf die Minecraft-Website hochgeladen werden konnte. Sobald die Schadsoftware auf der offiziellen Minecraft-Website gehostet wird, könnte jede Erkennung durch einen Virenschutz vom Anwender als "False-Positive" missverstanden werden. Avast hat Mojang, den Erfinder von Minecraft, kontaktiert und sie sind dabei, diese Schwachstelle zu beheben.

Deshalb ist Minecraft betroffen
Seit Januar 2018 spielen 74 Millionen Menschen rund um den Globus Minecraft – das ist ein Zuwachs von fast 20 Millionen im Jahresvergleich. Jedoch lädt nur ein kleiner Prozentsatz davon modifizierte Skins auf seinen Computer herunter. Die meisten Spieler nutzen die Standardversion von Minecraft. Das erklärt auch die bislang geringe Anzahl an Infektionen. Innerhalb von 10 Tagen hat Avast 14.500 versuchte Angriffe abgewehrt. Die Gefahr darf aber in Anbetracht der enormen Spielerbasis trotzdem nicht unterschätzt werden.

Aus demografischer Sicht spielt ein breites Spektrum Minecraft, wobei die größte Altersgruppe davon zwischen 15-21 Jahre alt ist und 43 Prozent der Nutzer ausmachen. Die Hacker könnten es somit auf eine angreifbarere Zielgruppe von ahnungslosen Nutzern abgesehen haben, deren Eltern und Erziehungsberechtigte das Spiel für vertrauenswürdig erachten. Eine weitere Erklärung für den Angriff ist ein Penetrationstest, aber vermutlich wurde die Schwachstelle einfach auf Spaß ausgenutzt – eine übliche Vorgehensweise von Skript-Kiddies.

So lässt sich die Bedrohung erkennen
Die Spieler von Minecraft können die Gefahr auf verschiedene Weise erkennen. Die Schadsoftware ist in Skins enthalten, die sich direkt auf der Minecraft-Website befinden. Drei Beispiele, die diese Schadsoftware enthält, zeigen die nachfolgenden Bilder. Nicht alle Skins sind verseucht, aber wenn die Nutzer eine heruntergeladen haben, die jenen hier gleicht, sollte unbedingt ein Virensuchlauf durchgeführt werden.

Einige Nutzer könnten auch ungewöhnliche Nachrichten in ihrem Postfach haben, wie beispielsweise folgende in englischer Sprache:

"You Are Nailed, Buy A New Computer This Is A Piece Of Sh*t”

"You have maxed your internet usage for a lifetime”

"Your a** got glued”

Ein weiterer Beweis einer Infektion sind Probleme mit der Systemleistung des Computers, die durch einen einfachen Tourstart.exe -Loop oder einer Fehlermeldung in Bezug auf eine Formatierung bedingt sind.

Minecraft-Spieler müssen Systemcheck durchführen
Alle Spieler von Minecraft sollten unbedingt einen Suchlauf mit einem leistungsstarken und aktuellen Virenschutz durchführen. Nutzer von Avast Free Antivirus und andern Avast Versionen sind geschützt, da die Schadsoftware damit erkannt und entfernt wird. Allerdings kann in einigen Fällen eine Neuinstallation der Minecraft-Anwendung erforderlich sein. In Ausnahmefällen, nämlich wenn der Computer bereits mit der Schadsoftware infiziert wurde und Daten gelöscht wurden, muss sogar das System neu aufgesetzt werden.
(Avast: ra)

eingetragen: 23.04.18
Newsletterlauf: 24.05.18

Avast Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Tricks der Cyberkriminellen

    Vom derzeitigen Bitcoin- und Blockchain-Hype scheinen auch Cyberkriminelle zu profitieren. So schätzt Kaspersky Lab, dass Cyberkriminelle im vergangenen Jahr mittels neuer und bewährter Social-Engineering-Methoden mehr als 21.000 ETH (Ether) beziehungsweise zehn Millionen US-Dollar erbeuten konnten. Eine Analyse der über die Kaspersky-Produkte gemessenen Bedrohungen bestätigt den Trend: mehr als hunderttausend Alarme wurden im Zusammenhang mit Kryptowährungen ausgelöst. Derzeit haben es die Cyberkriminellen verstärkt auf Investoren im Krypto-Startup-Bereich abgesehen; sie missbrauchen namhafte Kryptowährungsprojekte und Twitter-Konten prominenter Personen für ihre Betrügereien.

  • Neue Klasse von SSDP-Missbrauch aufgedeckt

    Netscout Arbor, Sicherheitsspezialistin für DDoS-Abwehr-Lösungen, hat eine neue Klasse von SSDP-Missbrauch aufgedeckt, bei dem Geräte auf SSDP-Reflexions-/Verstärkungsangriffe mit einem nicht standardisierten Port reagieren. SSDP (Simple Service Discovery Protocol) ist ein Netzwerkprotokoll, das zur Suche nach Universal-Plug-and-Play-Geräten (UPnP) in Windows-Netzwerken dient. Offen aus dem Internet erreichbare SSDP-Server können für DDoS-Reflexionsangriffe gegen IT-Systeme von Unternehmen und Organisationen missbraucht werden. Die daraus resultierende Flut von UDP-Paketen hat kurzlebige Quell- und Zielports, sodass die Eindämmung erschwert wird. Dieses Verhalten scheint auf eine breite Wiederverwendung in CPE-Geräten, wie Telefone, Faxe und Modems, der Open-Source-Bibliothek libupnp zurückzuführen zu sein. Erkenntnise aus früheren DDoS-Vorfällen deuten darauf hin, dass sich Angreifer dieses Verhaltens bewusst sind und sich aufgrund der Wirksamkeit ihres Angriffs gezielt anfällige Geräte suchen und diese auszunutzen können.

  • Phishing ist Big Business

    Sophos hat den Aufstieg von Phishing-Angriffen im letzten Jahr untersucht. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-Emails aus. Die Angreifer haben die Vorteile von Malware-as-a-Service (MaaS) entdeckt - ein Cousin von Ransomware-as-a-Service (RaaS), beide wohnhaft im Dark Web - um die Effizienz und das Volumen von Attacken zu steigern. Lieblings-Ziel: die Mitarbeiter. In der Simulations- und Trainings-Umgebung "Sophos Phish Threat" werden Nutzer darin geschult, wie sie Phishing-Emails erkennen können. Die gesammelten Erkenntnisse liegen nun in einem White Paper vor. Daraus geht hervor, dass die beste Verteidigung gegen Phishing-Attacken eine duale Strategie ist.

  • Android-Wurm ADB.Miner nutzt Schwachstelle aus

    Tausende von Smartphones weltweit sind von einem Android-Wurm betroffen. Schuld daran ist eine Sicherheitslücke durch eine vergessene Debug-Schnittstelle. G Data klärt über die Gefahr auf und zeigt, wie Benutzer überprüfen können, ob ihr Mobilgerät ebenfalls davon betroffen ist und falls ja, wie die Sicherheitslücke geschlossen werden kann. Ein unbekannter Dritter greift via Internet auf das eigene Smartphone zu - und das mit vollen Root-Rechten als Administrator. Was sich wie ein komplizierter und denkbar unmöglicher Fall liest, wird durch eine Android-Sicherheitslücke zum einfachen Spiel für Cyberangreifer. Dieser kann sich dank des geöffneten TCP-Port 5555 per Androids Debug Bridge-Schnittstelle (kurz: ADB) auf das Gerät einklinken. Über ADB lassen sich eine Vielzahl von Geräte-Aktionen durchführen - angefangen vom simplen Auslesen der Geräteinformationen, über den Diebstahl sensibler Daten, bis hin zu sicherheitskritischen Installationen von schädlichen Programmen.

  • Käufer können eigene Bot-Shops aufsetzen

    Netscout Arbor, Sicherheitsspezialist für DDoS-Abwehr-Lösungen, warnt vor dem Malware-Downloader Kardon Loader. Dieser ermöglicht den Download und die Installation anderer Malware wie etwa Banktrojaner, Ransomware oder Trojaner zum Daten- und Identitätsdiebstahl. Downloader sind ein wesentlicher Teil des Malware-Ökosystems. Sie werden oft von spezialisierten Hackern entwickelt und unabhängig vom jeweiligen Trojaner vertrieben. Kardon Loader wird seit Ende April vom Nutzer "Yattaze" ab 50 US-Dollar in Untergrund- und Hacker-Foren als kostenpflichtiges Open-Beta-Produkt beworben. Kardon Loader soll zudem Bot-Store-Funktionalitäten bieten. So können Käufer eigene Bot-Shops aufsetzen. Es ist davon auszugehen, dass die Malware ein Rebranding des ZeroCool-Botnets ist, das vom gleichen Akteur entwickelt wurde.