- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Vermeintlicher VPN-Dienst namens "s5mark"


Malware und kriminelles Netzwerk für Online-Werbebetrug
Malware "Zacinlo" wird von Betrügern seit mehr als sechs Jahren verbreitet und aktualisiert - Umfangreiche Analyse durch Bitdefender

- Anzeigen -





Bitdefender hat einen für Werbebetrug entwickelte Malware entdeckt, die seit 2012 aktiv ist. Die Malware, von Bitdefender "Zacinlo" getauft, ist eine Rootkit-basierte Adware, die auf einem konfigurierbaren und hoch modularem Design aufbaut, das seine Funktionalität über Skripte und Konfigurationsdateien jederzeit erweitern kann. Ein mit Zacinlo infizierter PC öffnet entweder unsichtbare Browserinstanzen, um Werbebanner darin zu laden und Klicks auf diese zu simulieren, oder es tauscht die im Browser geladenen Anzeigen mit den Anzeigen des Angreifers aus, so dass die Betrüger im Hintergrund Werbeeinnahmen sammeln.

Zacinlo wird vom Nutzer selbst über einen kostenlosen und anonymen VPN-Dienst namens "s5Mark" installiert. Die Software s5Mark hat eine einfache grafische Oberfläche, die als legitim erscheinende Fassade für das unerwünschte Verhalten hinter den Kulissen dient. Technisch weniger versierte Nutzer sind nach der Installation im Glauben, eine VPN-Verbindung zu nutzen, obwohl die Software dies nicht einmal versucht. Anders als andere Malware, wie etwa Ransomware, ist Zacinlo für den Nutzer an sich unsichtbar und kann so über sehr lange Zeit seine betrügerischen Zwecke erfüllen, die den Online-Werbeplattformen erheblichen finanziellen Schaden zufügen.

Als Fassade für die Installation der Malware dient ein vermeintlicher VPN-Dienst namens "s5mark".
Dabei ist die Software für Nutzer keinesfalls ungefährlich. Die Malware ist Rootkit-basiert und kommuniziert im Hintergrund ständig mit einer zentralen Stelle, die die Software verwaltet, konfiguriert und bei Bedarf erweitern kann. So kann der Rootkit-Treiber sich selbst und seine Komponenten vor anderer Software schützen, insbesondere davor, erkannt zu werden oder seine kriminelle Funktionalität einzuschränken. Die Malware kann somit oft nicht ohne weiteres erkannt, gestoppt oder gelöscht werden.

Darüber hinaus öffnet die Malware Tür und Tor für weitere mögliche Sicherheitslücken: So kann die Malware benutzerdefinierten JavaScript-Code in die vom Benutzer besuchten Webseiten einzufügen oder die Installation von nahezu jeder Software im laufenden Betrieb aufnehmen und somit seine Funktionalität erweitern. Außerdem kann Zacinlo Informationen des infizierten Computers exfiltrieren und an die Zentrale melden, etwa über installierte Antimalware-Lösungen oder Autostart-Anwendungen. Die Malware kann außerdem Screenshots anfertigen und diese an die Command&Control Server der Angreifer senden.

Um Werbung zu beziehen, verwendet Zacinlo mehrere Plattformen, einschließlich Google AdSense. Die Malware läuft auf Windows-Betriebssystemen und hat eine klare Affinität zu Windows 10. Geografisch ist die Software weltweit aktiv, insbesondere jedoch in Märkten mit großer Werberelevanz wie etwa den USA, Deutschland und Frankreich. Die Malware kann eine Vielzahl an Browsern für seine Aktivitäten nutzen, inklusive Edge, Internet Explorer, Firefox, Chrome, Opera und Safari. Die kriminellen Aktivitäten mit Zacinlo können bis 2012 zurückdatiert werden. Wobei die Nutzung seit Ende 2017 sprunghaft angestiegen ist.

Zacinlo ist aufgrund der engen Integration mit dem Betriebssystem extrem schwierig zu entfernen und wird dank seiner Abwehrmechanismen auch nicht von gängigen Anti-Malware-Lösungen erkannt. Im Falle einer Infektion empfiehlt Bitdefender einen System-Scan im Bitdefender Rescue Modus, um das Rootkit und alle seine Adware-Komponenten zu entfernen.

Um der Security-Gemeinschaft dabei zu helfen, Zacinlo und die Cyberkriminellen hinter der Malware zu stoppen, hat Bitdefender die Malware und seine Prozesse im Detail analysiert. Der vollständige englischsprachige Bericht steht kostenlos unter diesem Link zur Verfügung. (Bitdefender: ra)

eingetragen: 23.06.18
Newsletterlauf: 02.07.18

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Stromausfall durch eine Cyberattacke

    Die Sicherheitsforscher von Eset haben ein neues Malware-Framework enttarnt. Dabei handelt es sich um eine Art Toolsammlung, die aus mehreren Komponenten besteht. Das Framework mit der Bezeichnung GreyEnergy wird höchstwahrscheinlich von der gleichen Gruppe Cyberkrimineller betrieben, die hinter BlackEnergy, Telebots und vermutlich auch NotPeya stecken. Vergangene Woche deckte Eset auf, dass auch die Malware Industroyer auf das Konto von Telebots geht.

  • G Data entdeckt Cybercrime-Hotspot in der Ukraine

    Eine neue Version der GandCrab-Ransomware erregte die Aufmerksamkeit unserer Analysten. Bei genauerem Hinschauen fanden sie Hinweise auf ein ganzes kriminelles Netzwerk in der Ukraine. Bei der Analyse einer neuen Version der GandCrab-Ransomware haben G Data-Sicherheitsforscher ein ganzes Netzwerk krimineller Aktivitäten entdeckt, die aus einem zusammenhängenden IP-Bereich aus der Ukraine heraus betrieben werden. Die vermutlich unter falscher Adresse registrierten IP-Adressen zeigen Hinweise auf illegales Cryptojacking, Phishing-Seiten und Dating-Portale. Zuletzt wurde GandCrab in Version 4 gegen Personalabteilungen eingesetzt. Ransomware wird in Untergrundforen an Kriminelle verkauft oder vermietet. Das ist wohl auch im Falle von GandCrab v5 so. Allerdings will die Person hinter der IP-Adresse sich offenbar nicht auf nur eine kriminelle Aktivität verlassen, um Einnahmen zu generieren.

  • Trojaner-App extrem gefährlich

    Manche Entwickler mobiler Anwendungen meiden die traditionellen App-Stores. Das kommt Cyber-Kriminellen sehr entgegen, wie der neue Trojaner GPlayed beispielhaft zeigt. Diese als App getarnte Malware verwendet ein Symbol, das dem Logo des Google Play Store zum Verwechseln ähnlich sieht. Zudem nutzt sie den Namen "Google Play Marketplace", um sich zu tarnen. Was diese Malware unberechenbar macht, ist die Fähigkeit, sich nach der Bereitstellung zu verändern. Dazu hat der Entwickler die Möglichkeit eingerichtet, aus der Ferne Plugins zu laden, Skripte einzuspeisen und sogar einen neuen ausführbaren .NET-Code zu generieren.

  • Neue Backdoor-Variante

    Der aktuelle BSI Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind. Immer stärker in den Fokus rücken dabei Infrastrukturanbieter. Bereits im vergangenen Jahr war es Angreifern gelungen, in der Ukraine mit dem Schadprogramm Industroyer und Blackenergy Energieversoger und Kraftwerke anzugreifen. Das Resultat: In Teilen der Ukraine brach die Stromversorgung für mehrere Stunden komplett zusammen. Neueste Eset Analysen zeigen, dass diese Cybercrime-Gruppierung jetzt mit den Online-Kriminellen zusammenarbeitet, die für die Entwicklung von Wannacry und NotPetya verantwortlich waren. Das daraus resultierende Cyber-Attacker Know-how hebt das Gefahrenpotential für KRITIS-Betreiber auf ein vollkommen neues Niveau. Deutschland und andere europäische Staaten könnten nach Einschätzung von Eset zukünftig stärker als bisher in den Fokus von Cyber-Terroristen geraten.

  • Wandlungsfähigkeit & Experimentierfreude

    Es gibt eine neue Entwicklung bei der Verbreitung der Malware ,KopiLuwak' des russischsprachigen Bedrohungsakteurs Turla (auch bekannt als Snake oder Uroburos): Experten von Kaspersky Lab berichten, dass das Schadprogramm einen nahezu identischen Code nutzt, der erst vor einem Monat im Zuge der Zebrocy-Operation, als Teilgruppe von Sofacy (ebenfalls russischsprachig, auch bekannt als Fancy Bear und ATP28), verwendet wurde. Die Kaspersky-Analyse über vier derzeit aktive Turla-Cluster zeigt zudem, dass es bei Sofacy und Turla Überschneidungen der anvisierten Ziele gab: geopolitische Hotspots in Zentralasien sowie sensible Regierungs- und Militäreinheiten. KopiLuwak (benannt nach einer seltenen Kaffeesorte) wurde erstmalig im November 2016 entdeckt und verbreitet Dokumente mit Malware und aktivierten Makros, die neue, schwer analysierbare Javascript-Malware hinterlassen, über die die Angreifer bei den anvisierten Opfern System- und Netzwerkaufklärung betreiben konnten.