Malware, die sich unter dem Deckmantel harmloser Lehrbücher verbreitet

11 Sep 2019

Wir haben bereits unzählige Male darüber berichtet, wie einfach es ist, sich bei dem simplen Versuch beliebte TV-Serien oder Game Cheats herunterzuladen, lästige Viren etc. einzufangen. Doch Cyberkriminelle beschränken sich nicht ausschließlich auf Unterhaltungsprodukte – auch bei der Suche nach berufs- oder studienbezogenen Materialien können Sie deshalb über einen Virus stolpern. Eine Tatsache, die man vor allem mit dem kürzlichen Start ins neue Schuljahr im Hinterkopf behalten sollte. Denn die hohen Kosten von Lehrbüchern und anderen Materialien tragen oft dazu bei, dass sich viele online nach kostenlosen oder günstigeren Alternativen umsehen.

Laden Sie eine Hausarbeit kostenlos herunter und erhalten Sie Malware gratis dazu

Wir haben uns dazu entschlossen, herauszufinden, ob und wie häufig sich bösartige Inhalte in kostenlos zur Verfügung gestellten Materialien verbergen. Dazu haben wir schul- und studienbezogene Dateinamen auf Infektionen und Auffälligkeiten überprüft, die von unseren Kaspersky-Lösungen ausfindig gemacht werden konnten. Im Anschluss folgen die interessantesten Ergebnisse unserer Untersuchung:

Wie sich gezeigt hat, haben auf den Bildungssektor spezialisierte Cyberkriminelle im vergangenen akadamischen Jahr mehr als 356.000 Mal versucht, die Anwender unserer Lösungen (erfolglos) anzugreifen. In 233.000 Fällen handelte es sich bei den ausgelegten Ködern um bösartige, als Hausarbeiten getarnte Dokumente, die von mehr als 74.000 Anwendern heruntergeladen, jedoch rechtzeitig von unseren Produkten blockiert werden konnten.

Insgesamt konnten 122.000 Angriffsversuche durch als Lehrbücher getarnte Malware abgewehrt werden. Mit 2.080 versuchten Downloads standen dabei vor allem englische Bücher bei Schülern bis zur 12. Klasse hoch im Kurs. Dicht gefolgt von  Mathematikbüchern, die ohne den Schutz unserer Produkte stolze 1.213 Schülercomputer infiziert hätten. Mit 870 potenziellen Opfern schließen literaturbezogene Lehrdokumente und -bücher die thematische Downloadliste der drei beliebtesten, aber auch gefährlichsten Lehrdokumente ab.

Doch auch thematisch weniger interessante Lernmaterialien wurden von den Kriminellen nicht außer Acht gelassen. Auch bei Materialien der Fächer „Naturwissenschaften“ und „Fremdsprachen“ sind unsere Experten auf Malware gestoßen, die versucht hat, sich unter dem Deckmantel angeblicher Lehrbücher zu verbreiten.

Welche Malware-Arten werden unter dem Deckmantel harmloser Lehrmaterialien verbreitet?

Wenn Sie sich auf Ihrer Suche nach Lehrmaterialien auf einer skrupellosen Website wiederfinden und versuchen, ein Dokument o. Ä. von dieser Seite herunterzuladen, besteht die Gefahr, dass Sie dabei auf nahezu jede Art von Malware stoßen. Dennoch werden spezifische Bedrohungsarten deutlich häufiger auf studienbezogenen Websites verbreitet als andere. Im Anschluss haben wir die 4 häufigsten Malwarearten für Sie zusammengefasst, die unter dem Deckmantel harmloser Lernmaterialien in freier Wildnis ihr Unwesen treiben.

Platz 4: Der Torrent-App-Downloader „MediaGet“

Seiten, die mit verlockendenen „Free Download“-Schaltflächen Ihre Aufmerksamkeit auf sich ziehen möchten, statten den Nutzer oftmals mit dem Downloader MediaGet aus, nicht aber mit dem Dokument, nach dem sie ursprünglich gesucht haben. Hierbei handelt es sich um die harmloseste aller Überraschungen, die Schüler und Studenten auf der Suche nach Bildungsressourcen erwartet – denn der Downloader ruft lediglich einen für den Nutzer völlig nutzlosen Torrent-Client ab.

Platz 3: Der Downloader „WinLNK.Agent.gen“

Malware verbirgt sich gerne in Dateien. Denn eine Bedrohung ist deutlich schwieriger zu entdecken, wenn sie sich innerhalb einer .zip- oder .rar-Datei befindet. Diese Technik wird beispielsweise von dem Downloader WinLNK.Agent.gen angewandt, den man sich bei der Suche nach Lehrbüchern und Hausarbeiten im Handumdrehen einfangen kann. Das Archiv enthält eine Verknüpfung zu einer Textdatei, die nicht nur das Dokument selbst öffnet, sondern darüber hinaus die beigefügten Malware-Komponenten ausführt.

Diese wiederrum können zu einer weiteren Infektion des Gerätes führen. Für gewöhnlich handelt es sich hierbei um bösartige Kryptomining-Programme, die mithilfe Ihrer Ressourcen Kryptowährung für ihre ursprünglichen Besitzer schürfen. Das Ergebnis? Die Rechenleistung Ihres Computers sowie die Schnelligkeit Ihrer Internetverbindung leidet unter den fiesen Kryptominern und auch Ihre Stromrechnung wird höchstwahrscheinlich höher ausfallen als üblich. Adware könnte Sie darüber hinaus mit ungewollten Werbeangeboten und -anzeigen überschütten. Darüber hinaus ist die Malware in der Lage weitere Schadprogramme herunterzuladen.

Platz 2: Der Malware-Downloader „Win32.Agent.ifdx“

Auch dieser Downloader verbirgt sich oft unter dem Deckmantel eines Lehrbuches oder einer Hausarbeit in DOC, DOCX oder PDF-Formaten. Obwohl er sich als harmloses Dokument ausgibt, handelt es sich bei dem Downloader in Wirklichkeit um ein Programm, das bei seiner Auführung lediglich eine Textdatei öffnet, damit das Opfer keinen Verdacht schöpft.

In letzter Zeit hat diese Art von Malware die Tendenz gezeigt, verschiedene Typen von Kryptominern herunterzuladen. Es ist zu beachten, dass sich die Prioritäten von Malware-Anbietern ändern können. Nichts hindert sie daran, die Malware zu modifizieren, um Spyware, Banking-Trojaner – die Konto- und Kartendetails stehlen – oder sogar Ransomware anstelle von Kryptominern herunterzuladen.

Platz 1: Der Spamming-Wurm „Stalk“

Sie können auch ganz ohne den Besuch dubioser Webseiten infiziert werden. Auch Spammer verteilen schädliche Lehrbücher und Hausarbeiten. Aud diese Weise wird beispielsweise der Wurm Worm.Win32 Stalk.a bevorzugt verbreitet. Obwohl es den Wurm schon eine ganze Weile gibt, sind wir prinzipiell davon ausgegangen, dass er längst nicht mehr verwendet wird. Zu unserer Überraschung wird der Wurm aber nicht nur weiterhin aktiv genutzt, sondern ist darüber hinaus die „Bildungs“-Malware mit der größten Opferzahl.

Sobald der Wurm seinen Weg auf einen Rechner gefunden hat, penetriert Stalk alle Geräte, die mit dem Computer verbunden sind. So können beispielsweise andere Computer im lokalen Netzwerk oder ein USB-Stick, der die Lehrmaterialien enthält, infiziert werden. Hierbei handelt es sich um einen sehr heimtückischen Schritt: Drucken Sie Ihre Hausarbeit nämlich über die Schul- oder Universitätsressourcen mithilfe eines UBS-Sticks aus, schleust sich der Wurm ebenfalls in das Netzwerk der Bildungseinrichtung.

Doch auch damit gibt sich die Malware nicht zufrieden. Um möglichst viele Systeme zu infizieren, versucht sich Stalk darüber hinaus per E-Mail zu verbreiten und Kontakt mit Freunden und Bekannten in Ihrem Namen aufzunehmen. Diese stufen die scheinbar von Ihnen stammende Nachricht sehr wahrscheinlich als sicher ein und öffnen die angehängte schädliche Anwendung.

Selbstverständlich ist der Wurm nicht nur aufgrund seiner Fähigkeit, sich selbst über ein lokales Netzwerk und per E-Mail zu verbreiten, gefährlich. Die Malware kann darüber hinaus andere schädlich Anwendungen auf das infizierte Gerät laden und Dateien von Ihrem Computer an die Malware-Entwickler senden.

Einer der Hauptgründe, warum der Stalk-Wurm wahrscheinlich immer noch gedeihen kann, ist, dass Bildungseinrichtungen im Allgemeinen und ihre Druckersysteme im Besonderen häufig hoffnungslos veraltete Versionen von Betriebssystemen und anderer Software verwenden. Dadurch kann sich der Wurm weiter ausbreiten.

So schützen Sie sich vor bösartigen „Lehrmaterialien“

Wie Sie sehen, kann die Suche nach Lehrmaterialien im Internet relativ unangenehme Folgen haben. Um eine Infektion zu vermeiden:

  • Suchen Sie ausschließlich in physischen oder Online-Bücherreien nach Büchern und Lehrmaterialien;
  • Achten Sie immer darauf, auf welcher Art von Website sich das Lehrbuch befindet, das Sie herunterladen möchten. Besuchen Sie keine zweifelhaften Ressourcen, die voller blinkender Download-Schaltflächen sind oder für die Sie zuerst einen Downloader installieren müssen;
  • Verwenden Sie keine veralteten Versionen von Betriebssystemen oder anderer Software. Vergewissern Sie sich, dass Sie jegliche Softwareupdates unverzüglich installieren;
  • Gehen Sie kritisch mit E-Mail-Anhängen um, auch dann, wenn die Nachricht von jemandem aus Ihrem Bekanntenkreis stammt. Sollte ein Freund Ihnen urplötzlich einen Aufsatz oder eine Hausarbeit zusenden, nach der Sie nicht gefragt haben, sollten bei Ihnen die Alarmglocken angehen;
  • Achten Sie auf die Erweiterungen der Dateien, die Sie downloaden. Wenn Sie eine EXE-Datei anstelle eines Dokuments herunterladen, sollten Sie diese nicht öffnen;
  • Verwenden Sie eine zuverlässige Sicherheitslösung. Kaspersky Internet Security erkennt nicht nur die in diesem Artikel erwähnten Bedrohungen, sondern auch viele andere.