Botnet Kelihos verbreitet Erpresser Troldesh

Das Botnet Kelihos existiert nun bereits seit etwa acht Jahren und hat schon mindestens zwei Stilllegungsversuche überlebt, und zwar in den Jahren 2011 und 2012.

Im Laufe seiner Existenz hat es schon den unterschiedlichsten Zielen gedient – von der Zustellung von Liebesspam bis zur Verbreitung von Erpresserschädlingen wie MarsJoke und Wildfire. Ab August benutzten Cyberkriminelle das Zombie-Netz, um Verschlüsselungs- und Bank-Malware in Umlauf zu bringen, und irgendwann ist Kelihos buchstäblich über Nacht um das Dreifache angewachsen. Er begann Schädlinge wie Panda Zeus, Nymain und Kronos zu verbreiten, kehrte jedoch bald zu der guten, alten Ransomware zurück.

Zum gegenwärtigen Zeitpunkt beobachten Forscher, dass Kelihos Schadspam verbreitet, das den Verschlüsselungsschädling Troldesh enthält. Das Opfer soll auf einen schädlichen Link klicken, der auf ein Word-Dokument und schädliches JavaScript verweist. Das ist der erste Fall einer Infektion mit einer JS-Datei über dieses Botnetz.

Eine besondere Ironie liegt darin, dass der Schädling den verschlüsselten Dateien die Erweiterung .no_more_ransom anfügt – Name einer bekannten Initiative, die sich dem Kampf gegen Ransomware verschrieben hat. Sie hat bereits tausenden Nutzern dabei geholfen, ihre Dateien ohne Zahlung eines Lösegeldes zu entschlüsseln.

Troldesh wird an Adressen in der Zone .au verteilt, das heißt die Kampagne richtet sich in erster Linie gegen australische Nutzer. Die Spam-Mitteilungen, die die Anwender durch List dazu bringen sollen, den Erpresser zu laden, kommen als Mitteilungen der Bank of America über eine angeblich bestehende Zahlungsverpflichtung daher, und der Empfänger wird aufgefordert, die Datei zu öffnen, um „die Situation zu bereinigen“.

Nachdem der Nutzer den Erpresserschädling geladen hat, verschlüsselt dieser die Dateien und zeigt eine Lösegeldforderung an (in russischer und englischer Sprache). Für die Kontaktaufnahme mit den Erpressern wird eine Gmail-Adresse verwendet. In den Instruktionen wird zudem erklärt, wie man den Tor-Browser lädt und auf .onion-Sites gelangt.

Troldesh ist außerdem in der Lage, andere Malware auf den infizierten Computer zu laden, beispielsweise Pony, einen Informationen stehlenden Schädling.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.