Revoyem erschließt neue Gebiete

Unabhängige Forscher, die ihren Blog unter dem Pseudonym Kafeine führen, warnen vor einer Ausbreitung des Schadprogramms Revoyem, alias DirtyDecrypt. Dieser Windows-Erpresser wurde erstmals im März 2013 in Deutschland und Großbritannien entdeckt. Laut Kafeine geht der Lebensraum von Revoyem nun über die Grenzen Westeuropas hinaus und umfasst 15 Länder, darunter die USA, Spanien, Frankreich, Italien, die Türkei und Kanada.

Der Blocker verbreitet sich über Redirects auf Porno-Ressourcen. Nach einem Klick auf ein bösartiges Banner, das im Rahmen des Partnerprogramms TrafficHolder installiert wird, landet der Besucher auf einer Seite mit Kinderpornografie, die zudem als Aufmarschgebiet für die Exploit-Sammlung Styx dient. Bei erfolgreicher Verarbeitung des Exploits wird Revoyem auf den Computer des Opfers geladen, der den Zugriff auf das System blockiert und in voller Bildschirmbreite eine Mitteilung anzeigt, die den Anwender des Ansehens illegalen Contents beschuldigt. „Der Effekt ist umso stärker, da es sich bei der Beschuldigung ja um die Wahrheit handelt.“, kommentiert Kafeine. „Der Nutzer hat tatsächlich gerade eben verbotenen Content angesehen, wenn auch nicht aus freien Stücken.“

Dieses Schema ist typisch für Erpresser-Programme, obgleich die Verbreiter von Revoyem bisher von der Darstellung von Kinderpornos Abstand genommen hatten. Das Banner, das den Zugriff auf das System blockiert, kommt als Benachrichtigung von Gesetzeshütern daher. Manchmal sind solche Banner lokalisiert ― Bürger der USA werden beispielsweise im Namen des FBI erpresst, das für die Entsperrung die Zahlung einer „Strafe“ verlangt. In den Mitteilungen „vom FBI“ werden die IP-Adresse und der Standort des Anwenders angeführt, sowie verbotene Fotos, Besucherprotokolle von der entsprechenden IP-Adresse und eine Liste von Paragraphen, gegen die das Opfer verstoßen hat.

„Bei Zahlung der Strafe werden alle gegen Sie zusammengetragenen Indizien aus der Beweisdatenbank gelöscht.“, heißt es auf der letzten von Revoyem abgebildeten Seite. Dabei wird vorgeschlagen, die Zahlung über MoneyPak oder Paysafeсard abzuwickeln.

Eine von Malwr.com durchgeführte Analyse hat gezeigt, dass dieser Schädling im Hintergrundmodus Informationen aus dem Browser stiehlt, den Taskmanager deaktiviert und bei der Installation seinen Autostart bei jedem Start von Windows gewährleistet. Die Liste der mit Revoyem assoziierten Domains ist mit dem Stand vom 12. September auf der Website Pastebin zu finden.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.