Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten

Malware-Macher missbrauchen das derzeit gesteigerte Informationsbedürfnis der Menschen. Unter anderem kursieren gefälschte Corona-Apps und -Karten.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten

Zu gut, um wahr zu sein: Im Hintergund dieser angeblichen Corona-Tracking-App lauert eine verschlüsselnde Ransomware.

(Bild: Shutterstock / domaintools.com)

Lesezeit: 6 Min.
Inhaltsverzeichnis

Mit Lockangeboten wie "CoronaVirus Discount! 10 % off ALL products!" oder saftigen COVID-19-Rabattcodes werben Kriminelle in einschlägigen Untergrundforen derzeit für Exploit-Kits oder Bausätze, mit denen man sich Malware nach Maß schneidern kann. Ihre Geschäftsstrategie dürfte aufgehen – denn auch ihre Kunden fahren enthusiastisch auf der Corona-Schiene. Seit Beginn der Pandemie setzen sie verstärkt auf Phishing-Kampagnen und Schädlinge, die die zunehmende Angst der Menschen vor einer Infektion und vor allem das damit einhergehende Bedürfnis nach Information ausnutzen.

Sicherheitsforscher warnen derzeit vor Malware in Kopien der stark frequentierten Corona-Karten (etwa von der Johns Hopkins University), aber auch vor gefälschten Corona-Informations-Apps sowohl für mobile Geräte als auch für den Desktop. Wir haben dazu einige Beispiele zusammengetragen.

Dreh- und Angelpunkt von Malware- und Phishing-Kampagnen mit Corona-Bezug sind zugunsten größerer Glaubwürdigkeit häufig Domains, in denen Begriffe wie "Corona", "Covid19" oder andere Buzzwords zur Pandemie vorkommen. Potenzielle Opfer laufen Gefahr, nicht nur über Phishing-Links (etwa in E-Mails), sondern auch auf der Suche nach Informationen über ihre eigene Suchmaschine dort zu landen.

(Bild: Check Point)

Mittels seiner Threat-Intelligence-Software erfasste das IT-Sicherheitsunternehmen Check Point eigenen Angaben zufolge seit Anfang Januar bis Mitte März 2020 rund 16.000 neu registrierte "Corona-Domains" weltweit. Dabei sei die durchschnittliche Zahl der wöchentlichen Neuregistrierungen seit Ende Februar im Vergleich zum Zeitraum davor etwa um das Zehnfache angestiegen.

0,8 Prozent und damit 93 der seit Februar registrierten Corona-Domains stuft Check Point laut einem Blogeintrag als "malicious", rund 19 Prozent (2200 Websites) zumindest als verdächtig ein. Insgesamt schätzt das Unternehmen, dass Corona-Domains im Vergleich zu anderen Domains mit einer um 50 Prozent höheren Wahrscheinlichkeit schädliche Inhalte aufweisen.

In den eingangs erwähnten Untergrundforen werden derzeit auch Bausätze für Malware(-Kampagnen) gehandelt, die sich direkt oder indirekt der Corona-Thematik bedienen. So warnte unter anderem der IT-Sicherheitsblogger Brian Krebs in einem Blogeintrag Anfang März vor einem in russischsprachigen Foren angebotenen "Corona Infection Kit". Potenzielle Opfer soll es mittels einer Kopie der COVID-19-Livekarte der Johns Hopkins University (JHU) anlocken – inklusive echter, automatisch aktualisierter Kartendaten.

Wer mit der Karte agiert, triggert eine Variante des Infostealers "AZORult", der über den Diebstahl sensibler Informationen hinaus auch die Fähigkeit besitzen soll, weitere Malware nachzuladen. Sicherheitsforscher haben die Karte auf gefälschten Corona-Domains (unter anderem "Corona-Virus-Map[.]com") gesichtet. Krebs zitiert den Malware-Macher allerdings mit Worten, die darauf schließen lassen, dass auch andere Wege der (Weiter-)Verbreitung denkbar sind: "Users will think that PreLoader is actually a map, so they will open it and will spread it to their friends and it goes viral!".

Sieht aus wie das Original: AZORults bösartige Variante der COVID-19-Karte der JHU.

(Bild: https://blog.reasonsecurity.com/)

Das Ausführen des Schädlings auf Systemen erfordert laut Krebs, dass Java installiert ist und soll dann unabhängig von installierten Patches funktionieren. das "Infection Kit" koste rund 200 US-Dollar beziehungsweise 700 US-Dollar, sofern der Käufer zusätzlich ein gültiges Java Code-Signing-Zertifikat benötige.

Internetnutzer können sich vor diesen und ähnlichen Maschen schützen, indem sie ausschließlich und immer nur auf direktem Wege (nicht über Links in E-Mails o.ä.) die bekannten Karten etwa der JHU oder auch des RKI ansurfen. Detaillierte Schädlingsinformationen, inklusive Links zu Virus-Total-Scans der Schädlingskomponenten, sind unter anderem einer Analyse des Schädlings durch Reason Security zu entnehmen.

(Bild: ESET via Twitter)

Neben Online-Karten kursieren auch vermeintliche COVID-19-Tracker fürs Smartphone. Beispielsweise want ESET in einem aktuellen Tweet vor Android-Malware, die auf Nutzer aus Spanien abzielt. Hinter der mobilen Anwendung verbirgt sich demnach ein Banking-Trojaner. Wo und auf welche Weise der Schädling verbreitet wird, geht aus dem Tweet allerdings nicht hervor.

In dieselbe Kerbe schlägt der Android-Schädling CovidLocker, der ursprünglich über die Domain "coronavirusapp[.]site" abrufbar war. Wie aus einer Analyse des DomainTools-Teams hervorgeht, handelt es sich hier um einen vorgeblichen COVID-19-Tracker, der vorhandene Infektionen gar "straßengenau" anzeigen soll. In Wirklichkeit handelt es sich hier allerdings um Ransomware, die unter bestimmten Voraussetzungen als Screenlocker den Zugang zum Smartphone verwehren kann und ein Lösegeld in Höhe von 100 US-Dollar in Bitcoin fordert.

CovidLocker blendet diese Erpresserbotschaft ein.

(Bild: domaintools.com)

Auch hier gilt der Hinweis, von vornherein nicht auf potenziell unseriöse Apps, sondern lieber auf bekannten Datenquellen zu vertrauen.

Die IT-News-Website Bleeping Computer weist in einem Artikel auf ein seltsam anmutendes Download-Angebot hin, das über eine gefälschte Corona-Domain noch immer abrufbar ist und hinter dem sich die Malware BlackNET verbergen soll. Unter der Überschrift "Corona Antivirus – World's best protection" wird eine KI-basierte "Antivirensoftware" angepriesen, die tatsächlich vor dem Coronavirus schützen soll.

Was erstmal kurios klingt und vielleicht auch neugierig macht, ist spätestens dann nicht mehr lustig, wenn man sich den Windows-spezifischen Schädling installiert hat: Er integriert das infizierte System laut Bleeping Computer in ein Botnetz, um es unter anderem für DDoS-Attacken zu missbrauchen. Das BlackNET RAT (Remote Adminsitration Tool) könne vom Angreifer aber auch missbraucht werden, um aus der Ferne sensible Daten zu sammeln oder das Nachladen weiteren Schadcodes zu veranlassen.

Nicht lustig: Eine angebliche Anti-Corona-Anwendung, die in Wirklichkeit Botnetze baut.

(Bild: Screenshot)

Hier gilt trotz aller Neugierde: Den Download nicht anklicken und die Website umgehend verlassen.

Mehr Infos

rgeggrerge

(ovw)