Während sich COVID-19 verbreitet, nutzen Hacker den Wunsch der Menschen nach Informationen über die Coronavirus-Pandemie. Demgemäß haben Cyberkriminelle eine gefälschte Website gestartet, um persönliche Informationen zu stehlen. Die Internetseite gleicht der bekannten Corona-Verbreitungskarte der John-Hopkins-Universität, berichten Sicherheitsforscher von Reason Cybersecurity in einem Blogbeitrag.

Menschliche Emotionen als Einfallstor für Hacker

Auch im aktuellen Fall nutzen Hacker menschliche Emotionen, wie Angst oder Neugier, zum Verbreiten von Malware aus. Derzeit kursiert eine falsche .exe-Datei sowohl in diversen Messengern und sozialen Medien, als auch als Verlinkung im Internet. Opfern, die die Seite besuchen, zeigt man eine Karte des Globus an. Darauf angegeben ist, in welche Länder sich das Virus verbreitet hat sowie Statistiken zur Anzahl der registrierten Todesfälle und Infektionen.





Authentische Nachahmung der Coronavirus Map führt zur Infektion

Um die gefälschte Karte authentisch wirken zu lassen, haben Kriminelle sie so konzipiert, dass sie eine legitime COVID-19- Bedrohungskarte nachahmt, die die Johns Hopkins University erstellt hat und in ähnlicher Weise die vom Virus betroffenen Länder, zusammen mit den neuesten Statistiken zeigt. Alfasi erkennt an: „Die Malware verfügt über eine grafische Benutzeroberfläche, die sehr überzeugend aussieht“. Er entdeckte auch E-Mails mit Links zur gefälschten Karte. Opfer, die auf die Links geklickt haben, aktivierten unwissentlich bösartige Software zum Stehlen von Informationen. Alfasi informiert:

„Diese Technik ist ziemlich verbreitet. Ich bin schon einmal darauf gestoßen und habe nach einigem Suchen festgestellt, dass die hier verwendete Taktik zum Stehlen von Informationen von einer Malware-Familie namens ‚AZORult‘ stammt, die man 2016 erstmals entdeckt hat“.

AZORult-Quelle sind russische Untergrundforen

AZORult verkauft man üblicherweise in russischen Untergrundforen, um sensible Daten von einem infizierten Computer zu sammeln. Die Malware kann verwendet werden, um Browserverlauf, Cookies, ID/Passwörter, Kryptowährung, im Browserverlauf der Benutzer gespeicherte Kreditkarteninformationen und mehr zu stehlen. Ebenso kann sie auch zusätzliche schädliche Software auf infizierte Computer herunterladen. Im Verlauf seiner Forschung beobachtete Alfasi die Malware „auf der Suche nach verschiedenen Kryptowährungs-Wallets wie Electrum und Ethereum“.

Sicherheitsforscher Brian Krebs erklärt in einem Blogbeitrag, dass das interaktive Coronavirus-Dashboard Teil eines Infektionskits war, das für einen Java-basierten Malware-Einsatz entwickelt wurde. Laut seinem Bericht begann Ende letzten Monats ein Mitglied mehrerer russischsprachiger Cybercrime-Foren mit dem Verkauf eines digitalen Coronavirus-Infektionskits, das die interaktive Hopkins-Karte als Teil eines Java-basierten Malware-Einsatzschemas verwendet. Das Kit kostet 200 USD, wenn der Käufer bereits über ein Java-Codesignaturzertifikat verfügt. 700 USD waren fällig, wenn der Käufer das Zertifikat des Verkäufers verwenden möchte.

Der Verkäufer erklärt:

„Es lädt [eine] voll funktionsfähige Online-Karte von mit Corona Virus infizierten Gebieten und anderen Daten. Die Karte ist anpassbar, interaktiv und enthält Echtzeitdaten der Weltgesundheitsorganisation und anderer Quellen. Benutzer werden denken, dass PreLoader tatsächlich eine Karte ist, also werden sie sie öffnen und an ihre Freunde weitergeben und sie wird viral! “

Brian Krebs rät zur Achtsamkeit

Solange, wie die Pandemie in allen Medien präsent bleibt, werden Malware-Anbieter diese auch weiterhin als Köder verwenden. Brian Krebs rät folglich dazu, achtsam zu sein und das „Öffnen von Anhängen, die in E-Mails ungebeten gesendet werden – auch wenn sie scheinbar von jemandem stammen, den Sie kennen“, zu vermeiden.

Tarnkappe.info