Achtung: Nemucod ist als Malware-Variante zurück

Die Sicherheitsforscher von ESET haben eine neue Variante der Malware Nemucod entdeckt und unter dem Namen Win32/Kovter dokumentiert.


Anzeige

Im März hatte ich im Artikel ESET warnt vor Nemucod-Malware die betreffende Schadsoftware angesprochen. Die Angreifer nutzen E-Mails, um die Schadsoftware zu verbreiten. Als Rechnung, Gerichtsvorladung oder ähnliche offizielle Dokumente getarnt, versuchen sie die Zielpersonen dazu zu bringen, eine angehängte Zip-Datei zu öffnen. Der schadhafte Anhang beinhaltet eine Javascript-Datei, welche einmal geöffnet den Download sowie die Installation von Nemucod startet. Im Anschluss werden verschiedene Malware-Programme aus dem Internet geladen. Nemucod verschlüsselt daraufhin Bilder, Videos oder Office-Dateien auf dem infizierten PC und fordert den Nutzer zur Zahlung eines bestimmten Betrags auf, um die persönlichen Dateien wiederherzustellen. Auch in DACH war die Malware recht erfolgreich.

Wie der europäische Security-Software-Hersteller ESET schreibt, beschränkt sich die Variante Win32/Kovter, des bislang aktivsten Trojaner des Jahres 2016, nun nicht mehr nur auf die Verbreitung von Ransomware. Die neue Malware-Variante verbreitet eine Backdoor Malware, die unkontrolliert und ohne Wissen des Nutzers auf Werbeanzeigen im Internet klickt. Hier die von ESET offen gelegten Details:

Backdoor Malware mit „Durchblick"

Die aktuelle Version ist vor allem dadurch gekennzeichnet, dass sie mittels eines internen Browsers eine Backdoor einschleust. Dadurch werden, vom Computernutzer unbemerkt, Webseiten aufgerufen und Werbung angeklickt. Insgesamt kann Kovter bis zu 30 Aufgaben parallel ausführen. Die Anzahl der gleichzeitig ausgeführten Aufgaben variiert und wird entweder direkt durch den Angreifer festgelegt oder alterniert automatisch – dann richtet sich Kovter nach freiem RAM-Speicherplatz und CPU-Verbrauch. Das hilft dem Trojaner unentdeckt zu bleiben, da er nicht das System überlastet und so kaum Aufmerksamkeit erregt.

Achtung, Anhang!

Wie schon bei früheren Versionen des Trojaners gelangt die Malware als Anhang einer E-Mail auf den Computer. Der Anhang tarnt sich als Rechnung oder ein ähnlich offiziell anmutendes Dokument und soll den Empfänger dazu verleiten, die Datei zu öffnen.  Ohne es zu merken, lädt er damit eine infizierte Javascript-Datei auf seinen Rechner. Durch dieses Vorgehen können herkömmliche Sicherheitsscanner in E-Mail-Systemen wirkungsvoll getäuscht und umgangen werden.

Ursprüngliche Version erpresste Opfer

In der Variante vom Frühjahr 2016 hatte sich Nemucod vor allem auf den Download von Schadsoftware wie Locky oder TeslaCrypt sowie das Einschleusen von Ransomware fokussiert. Ziel war es, so viele User wie möglich zu infizieren und zu erpressen. Sobald der Rechner geentert war, begann die Ransomware damit, Dateien zu verschlüsseln. Bei Zahlung eines bestimmten Betrags, so versprachen die Angreifer, sollten die Daten der Opfer wiederhergestellt werden.

Hier bleibt nur der Hinweis, den auch ESET gibt: Schützen kann man sich, indem alle Mail-Anhänge mit .EXE, .BAT, .CMD, .SCR sowie .JS blockiert werden. Wer häufiger verdächtige Dateien erhält, sollte einen kritischen Blick auf den Absender werfen und – laut ESET – in eine leistungsfähige Sicherheitslösung investieren. Anwenderschulung in Sensibilisierung halte ich auf jeden Fall im privaten und geschäftlichen Umfeld für sehr sinnvoll.


Anzeige

Die Variante lässt möglicherweise noch einen Schluss zu. Offenbar ist das Ransomware-Einahmepotential doch nicht so hoch, so dass sich die Kriminellen auf Klickbetrug kaprizieren müssen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Achtung: Nemucod ist als Malware-Variante zurück

  1. Aha, als "Gerichtsvorladung oder ähnliche offizielle Dokumente getarnt", seit wann bekommt man den nun Vorladungen und offizielle Dokumente jetzt per Mail zugesandt.
    Zumal bei mir Empfangsbestätigung deaktiviert ist, ist das nun schon Pflicht jeden Tag einen Blick in den Postkasten zu werfen oder was??

  2. Tim sagt:

    @der_Puritaner: Pflicht nicht, aber klüger ist es sicher regelmäßig zu schauen… ;p

    Bei Pflichten, Viren und Co fällt mir hierzu mal ein:
    Was ist eigentlich aus der verrückten De-Mail Kiste geworden, gabs da auch schon Zwischenfälle? Basiert ja auch irgendwie auf E-Mail Technik…

    • Na was soll daraus schon geworden sein, das ist natürlich ein Flop weil es diverse offizielle nicht anerkennen zb. die Post hatte ja schon mal ihr eigenes ding versucht was aber auch gescheitert ist und aus diesem Grund erkennt die Post auch die DE-Email nicht an.
      Daneben gibts ja auch noch das Tolle Projekt mit der Verschlüsselung mit den Mails von GMX, Web.de und ich glaube 1&1 bin mir aber nicht sicher.
      Was aber nicht richtig Funktioniert weil die Email ja vor dem Versandt zum Provider auf deinem Rechner noch verschlüsselt werden müsste, und das wird sich ja nicht, also wird die Mail unverschlüsselt zu deinem Anbieter übertragen und dann Versandt, das geht aber nur zwischen den 3 Anbietern Verschlüsselt, wenn du nämlich die mail an einen anderen Anbieter versendest kann sie ja dort nicht mehr entschlüsselt werden.
      Aus diesem Grund versende ich auch meine 10 Mails pro Tag nur mit Enigmail (Gpg4win) ist zwar manchmal etwas mühselig und es kommen auch immer mal Mails zurück weil die diese Verschlüsselung nicht benutzen oder kennen, aber es ist ein Anfang.
      Im Übrigen mache ich das nicht erst seit Snowden Einblicke in das Ausmaß der weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten zugänglich gemacht hat sondern schon seit 2003.

      Huch Kaffee kalt ;)

      • Tim sagt:

        Die Post? Was? Die sollte doch damit übergangen werden.
        Das war doch der Witz daran, das alle deutsche Behörden kosten/porto sparen wollten, oder sollten und statt dessen neben der Post einnahmen mit digitalen "Einschreiben" haben wollten. Klang alles ganz hübsch… eben bis man sich mit den Nachteilen beschäftigte. Der Vorteil wäre nur gewesen das Fax endlich mal ausstirbt, welches ja sooooo fälschungssicher ist^^

        Ich hab nur nie wirklich vom Tot der De-Mail gehört und irgendwie sollte das doch mittlerweile laufen, war das nicht sogar gesetzlich geregelt?

        Das mit der verschlüsselung von GMX und Co ist nebenbei ein ganz anderes Thema. Das war und ist ja eher ein Werbegag zum Kunden fischen. Durch verschlüsselung allein bekommt die Email eben nicht einen Status wie Fax ihn noch hat. Emails sind noch immer nicht verbindlich. Auch diesen Punkt sollte De-Mail ja ändern, wenn ich das alles richtig verstanden hab.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.