FossHub kompromittiert: Software-Installer mit Malware infiziert

Das Download-Portal FossHub ist von einer Gruppe namens Pegglecrew gehackt worden. Die Hacker haben die dort angebotenen Installer von Open-Source-Programmen wie Classic Shell oder Audacity durch Malware ersetzt.

Laut dem Twitter-Account der Gruppe hatten sie auch Zugriff auf die Datenbanken von FossHub. Die Hacker behaupten, sie hätten auch Passwörter heruntergeladen. Diese sollen nicht gesalzen gewesen sein, sind daher potenziell zu entschlüsseln. Die Website von FossHub ist momentan nicht zu erreichen, lediglich eine zwischengespeicherte Kopie von Cloudflare wird ausgeliefert. Downloads von FossHub sollten bis auf weiteres gemieden werden.

Malware überschreibt MBR

Die Malware überschreibt bei der Installation des Programms den Master Boot Record (MBR) des PCs und macht ihn damit unbrauchbar. Nach einem Neustart fährt Windows dann nicht mehr hoch, sondern der PC zeigt eine Grußbotschaft der Hacker an. Bei vielen PCs kam es wohl kurz nach der Installation der Malware zu einem Bluescreen.

Wie einige Nutzer berichten, funktioniert die Malware nur mit Systemen die den klassischen MBR benutzen. Laut den Hackern haben sie die Implementierung einer Variante, die auf EFI-Systemen mit GPT-Partitionen funktioniert, nicht fertigstellen können. Ob die Malware Daten löscht oder weitere Komponenten im System hinterlegt, ist noch nicht bekannt.

Wiederherstellung per Bootmedium

Betroffene Nutzer können versuchen, mit Hilfe eines Windows-Installationsmediums oder einem Linux-Live-System ihren MBR wieder herzustellen. Danach sollte der PC wieder regulär starten.

Es empfiehlt sich dennoch, anschließend einen Virenscan über das ganze System mit einem Live-Linux wie desinfec‘t durchzuführen. Nur so kann sichergestellt werden, dass die Malware nicht noch weitere Komponenten installiert hat. (mls)