Erpresserprogramm blockiert Navigation und schürft Kryptowährung

Die Experten des österreichischen IT-Sicherheitsunternehmens Emsisoft haben ein trojanisches Windows-Programm entdeckt, das die DNS-Einstellungen verändert und eine Standardseite mit Lösegeldforderungen im Browser anzeigt. Der Schädling, der auf den Namen Linkup getauft wurde, lädt und startet eine Hochleistungsanwendung, die wiederum ProtoShares (PTS) generiert – eine alternative Kryptowährung, die nach dem Beispiel und analog zu Bitcoin entwickelt wurde.

Nach dem Start kopiert sich Linkup unter dem in die Irre leitenden Namen svchost.exe in das Verzeichnis %AppData%MicrosoftWindows. Zur Identifikation seiner selbst im System erstellt der Trojaner den Mutex tnd990r oder tnd990s und beseitigt mögliche Störungen, indem er eine Reihe von Diensten des Systemschutzes und auch die Firewall deaktiviert. Nachdem er sich auf einem infizierten Computer eingenistet hat, übermittelt Linkup an den Kommandoserver seine ID, die Windows-Version und die Sprache, die der Systembesitzer verwendet, und erhält als Reaktion darauf die IP-Adresse der Website mit der erpresserischen Seite. Alle Daten, die der Schädling mit dem C&C austauscht, werden verschlüsselt.

Beim Absenden einer beliebigen HTTP-Anfrage wird dem Infektions-Opfer nun die Seite mit der gefälschten Benachrichtigung über den angeblich von ihm begangenen Rechtsbruch angezeigt – das Anschauen verbotenen Contents. Um den Redirect zu gewährleisten, nimmt Linkup eine Modifikation in der System-Registry vor (er tauscht die Adresse des NS-Servers aus) und aktualisiert die Einstellungen der Netzkomponenten, damit die Veränderungen sofort wirksam werden.

Für die Wiederherstellung des Internetzugangs fordern die Betrüger das Opfer im Namen eines offiziellen Organs (auf dem von Emsisoft präsentierten Screenshot ist das der Europarat) zunächst einmal auf, Angaben zur Person zu machen und den vollständigen Namen, das Geburtsdatum und die bevorzugte Zahlungsart in ein Formular einzugeben. Dem Anwender wird versichert, dass die „Strafe“ nur 0,01 Euro beträgt, die Experten hegen allerdings berechtigte Zweifel daran, dass die Erpresser sich mit einer so geringen Summe zufrieden geben. In jedem Fall rät Emsisoft den Opfern davon ab, auf die Forderungen der Erpresser einzugehen und ihnen ihre persönlichen Daten zu übermitteln.

Linkup erhält vom C&C noch ein weiteres Kommando, und zwar den Befehl zum Laden und Starten der Datei pts2.exe. Wie die Experten feststellen konnten, enthält sie einen Downloader, der seinerseits ein selbstverpackendes RAR-Archiv mit Skripten und einer ausführbaren PE-Datei lädt. Die letztere enthält jhProtominer – eine auf die Generierung von ProtoShares spezialisierte Anwendung. Laut Emsisoft funktioniert der von Linkup geladene Miner nur auf 64-Bit-Plattformen. Es ist durchaus möglich, dass die zusätzliche Mining-Funktionalität hier erst einmal getestet wird und bald auch eine 32-Bit-Version von jhProtominer erscheint.

Quelle: TechCrunch

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.