WhatsApp für PC – mit Trojan-Banker-Garantie

Eben erhalten wir eine Spam-Mail auf Portugiesisch folgenden Inhalts:
 

208214226

Zusammengefasst besagt die Nachricht, dass WhatsApp for PC nun endlich erhältlich ist und bereits 11 Einladungen von Freunden in seinem Account auf den Empfänger warten. Und so sieht die E-Mail aus:
 

208214227

Klickt das Opfer auf den Link, führt er ihn auf einen gehackten Server in der Türkei woraufhin er zu einem Hightail- (Yousendit) Account umgeleitet wird, um dort den ersten Trojaner herunterzuladen, der im System wie eine 64 Bits-Installationsdatei aussieht:
 

208214228

In Wahrheit aber handelt es sich um eine gewöhnliche 32-Bits-App mit einer moderaten VT-Detektion:
 

208214229

Dieser Downloader verfügt über einige Anti-Debugging-Features, wie z.B.: UnhandledExceptionFilter() und RaiseException(), und läuft er einmal, so lädt er einen weiteren Trojaner herunter, und zwar den eigentlichen Banker. In diesem Fall stammt die Malware von einem Server in Brasilien und hat eine geringe Detektionsrate von 3 aus 49. Der gerade heruntergeladene Banker hat das Icon einer mp3-Datei. Die meisten Nutzer würden darauf klicken, besonders nachdem sie bemerkt haben, dass sie eine Größe von um die 2.5Mbps hat.
 

208214230

Der Trojaner verfügt zudem über einige Anti-Debugging-Features zur Erschwerung der Analyse. Er wurde von Embarcadero in Delphi XE5 geschrieben:
 

208214231

Wird der Schädling einmal ausgeführt, erstattet er den Cyberkriminellen Bericht und wenn er offen ist, verschickt der lokale Port 1157 die gestohlenen Informationen im Format Oracle DB. Zusätzlich lädt das Schadprogramm neue Malware auf das System; einige Samples haben eine Größe von 10 MB. Das ist klassische Malware made in Brazil.

Kaspersky Anti-Virus detektiert alle erwähnten Samples heuristisch. Bitte seien Sie stets auf der Hut und werden sie nicht zum Opfer Cyberkrimineller.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.