Run auf Windows 10 infiziert PCs mit Spionage-Trojaner

Aufgrund der hohen Nachfrage nach Windows 10 gibt Microsoft das neue Betriebssystem nur schrittweise heraus. Das betrifft besonders bestimmte Länder. Auf der offiziellen brasilianischen Website von Microsoft wird das bestätigt (linkes Bild). Cyberkriminelle aus Brasilien haben sich das zunutze gemacht und bieten nun im Rahmen einer Spam-Kampagne auf einer Website, deren Design der offiziellen MS-Sites detailliert nachempfunden ist, eine gefälschte Option für Nutzer an: “Windows 10 jetzt downloaden”. (rechtes Bild)

Klickt der Anwender auf den entsprechenden Link “Instalador Windows 10″ (Windows 10 Installer), so lädt er sich ein verschlüsseltes VBE-Skript auf sein System:

Es handelt sich um ein mit base64 verschlüsseltes Skript, das die legitime Motobit-Software zur Entschlüsselung verwendet:

Läuft es einmal, so transportiert es die eigentliche trojanische Spionagekomponente auf das System. Innerhalb des Codes wird zudem spaßiger brasilianischer Slang verwendet.

Das Haupt-Bankermodul ist in der Lage, Tastenanschläge zu protokollieren und Daten aus der Zwischenablage zu stehlen. Außerdem verfügt es über Backdoor-Möglichkeiten für entfernte Sitzungen und über verschiedene Anti-Debugging-Techniken und Methoden zur Erkennung von virtuellen Maschinen.

Kaspersky Anti-Virus detektiert das ursprüngliche VBE-Skript als Trojan-Downloader.VBS.Agent.aok

Kürzlich registrierten wir einen deutlichen Anstieg von VBS/VBE-Malware in Brasilien. Mein Kollege Fabio Assolini wird demnächst einen Blogpost über eine in Brasilien derzeit weit verbreitete VBE-Malware veröffentlichen.

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. christl kurmayer

    Ich habe noch window 7 bin damit sehr zufrieden,allerdings ist meine Verbindung ein Computer.Ich nutze kein Facebook oder andere Sozialen Medien,ich befürchte sehr den Rückgang der kommerziellen Comunikation,soll heissen sehr viele sind in der virtuellen Welt der sozialen Medien,obwohl der menschliche Kontakt wichtig ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.