Gefälschte Antivirus-Webseiten wollen Opfern Malware unterjubeln
Trellix hat mehrere gefälschte Antivrus-Webseiten entdeckt. Die kriminellen Betreiber verteilen darüber Malware.
Die Suche liefert Spam, Malware und Betrügereien zurück.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Auf der Suche nach Antivirenprogrammen könnten Suchende auf gefälschten Webseiten landen. Die Antivirenspezialisten von Trellix – die frühere Business-Sparte von McAfee gehört zu dem Unternehmen – warnen, dass Kriminelle darüber Schad- anstatt der gesuchten Schutzsoftware verteilen.
(Bild: trellix.com)
Mitte April haben Mitglieder des Advanced Research Center von Trellix mehrere gefälschte Antivirus-Websites aufgespürt. Dort lagen sehr ausgeklügelte, bösartige Dateien als .apk, .exe oder vom Inno-Setup-System erstellte Installer. Deren Funktionen umfassen Spionage und Diebstahl. Zum Ziel hatten sie offenbar allgemein Endanwender, die auf der Suche nach Schutz für ihre Geräte waren.
Gefälschte Seiten imitieren Webauftritte echter Antivirensoftware
Die gefälschten Webseiten kopieren die Optik der originalen Webseite. Sie liefern jedoch Malware anstatt der gesuchte Software zum Schutz der Geräte aus, deren Dateinamen teils direkt zu dem gefälschten Unternehmen passen: Auf avast-securedownload[.]com lauerte demnach ein Avast.apk, bitdefender-app[.]com lieferte setup-win-x86-x64.exe.zip und malwarebytes[.]pro schließlich eine MBSetup.rar. Ohne zugehörige URLs zu nennen, haben derartige Webseiten auch eine gefälschte Trellix-Binärdatei verteilt, die den Namen AMCoreDat.exe trägt.
Die APK-Datei mit dem Avast-Namen hat der Trellix-Analyse zufolge die Möglichkeit, nach Installation auf dem Smartphone Pakete zu installieren und löschen. Zudem kann die Malware Anrufprotokolle, SMS, gespeicherte Daten und den Telefonstatus lesen und schließlich auf den Netzwerk- und WLAN-Status zugreifen und letzteren ändern sowie Ton aufnehmen. Sie kann Screenshots aufnehmen und bringt einen Krypto-Miner sowie einen Ortungstracker mit. Die vermeintliche Bitdefender-Datei enthält den fortschrittlichen Lumma-Stealer. Der injiziert sich in die BitLockerToGo.exe des Systems und exfiltriert Informationen. Die Schadsoftware auf der gefälschten Malwarebytes-Seite enthält hingegen die StealC-Malware. Auch sie stiehlt Informationen, aber auch Zugangs- und Steam-Tokens. Die gefälschte Trellix-Software schleust Informationen etwa zum PC – Name, Nutzernamen, Speicher, laufende Prozesse, Log-in-Daten, Browser und Browserverlauf, Cookies und Tokens – an den Command-and-Control-Server (C2C).
Die Virenanalysten nennen schließlich noch Hinweise auf eine Infektion (Indicators of Compromise, IOCs) zu der Malware sowie zu den C2C-Servern. Die genannten Webseiten sind derzeit nicht erreichbar. Webbrowser wie Chrome oder Firefox warnen zudem beim Aufruf vor betrügerischen respektive gefährlichen Webseiten.
(dmk)