Cyberkriminelle machen süße Bilder zum bösen Spiel

Hacker verbreiten Malware über Zero-Day-Schwachstelle in Telegram

Messaging-Apps können nicht nur ein nützliches Tool sein, um mit unseren Liebsten in Kontakt zu bleiben, sondern unter Umständen Eindringlingen unerwünschten Zugang zu unserem Privatleben verschaffen. Vor geraumer Zeit haben wir auf unserem Blog über den Android-Trojaner Skygofree berichtet, der über Facebook Messenger, Skype, Viber, WhatsApp und andere Plattformen Spionage betreibt. Heute möchten wir über eine neue multifunktionale Malware sprechen, die unsere Experten kürzlich entdeckt haben. Sie spioniert Desktop-Computer aus und verbreitet sich über den Instant-Messaging-Dienst Telegram – und das auf eine sehr raffinierte Art und Weise.

Malware in Form eines süßen Katzenfotos

Trojaner-Entwickler lassen sich die kuriosesten Tricks einfallen, um ihre Malware an den Mann zu bringen.

Für die Methode, die wir Ihnen in diesem Beitrag vorstellten möchten, sollten Sie bedenken, dass einige Sprachen wie z.B. Hebräisch und Arabisch nicht wie die westlichen Sprachen von links nach rechts, sondern von rechts nach links geschrieben und gelesen werden, und dass Unicode, Computerstandard und nahezu allgegenwärtiger Zeichensatz, eine Möglichkeit bietet, die Richtung geschriebener Wörter zu ändern. Sie müssen lediglich ein spezielles, nicht sichtbares Zeichen verwenden, und schon wird die nachfolgende Zeichenfolge automatisch in umgekehrter Reihenfolge angezeigt. Genau das haben Hacker bei einem kürzlichen Angriff ausgenutzt.

Nehmen wir an, ein Cyberkrimineller erstellt eine schädliche Datei namens Trojan.js. Wie Sie der JS-Erweiterung entnehmen können, handelt es sich hierbei um eine JavaScript-Datei, die möglicherweise ausführbaren Code enthält. Ein vorsichtiger Benutzer würde sofort bemerken, dass hier etwas nicht stimmt. Aber zur Freude der Betrüger, können diese die Datei ganz einfach umbenennen und ihr beispielsweise folgenden Namen zuordnen: cute_kitten * U + 202E * gnp.js.

„U + 202E“ stellt in diesem Fall das Unicode-Zeichen dar, nach dem zufolge Buchstaben und Interpunktionszeichen von rechts nach links angezeigt werden. Der resultierende Dateiname wird dann also wie folgt angezeigt: cute_kittensj.png. Die Dateierweiterung scheint nun nicht mehr js., sondern PNG zu sein – eine vollkommen normale Bilddatei also. In Wirklichkeit handelt es sich allerding um einen JavaScript-Trojaner.

Dieser Trick der Umbennenung mithilfe des Unicodes ist allerdings nicht neu. Vor fast einem Jahrzehnt wurde er bereits verwendet, um bösartige E-Mail-Anhänge und Dateidownloads zu tarnen; viele Umgebungen sind mittlerweile davor geschützt. Aber als Telegram zum ersten Mal ins Visier genommen und angegriffen wurde, funktionierte die Methode einwandfrei. Mit anderen Worten, Telegram hat (oder besser gesagt, hatte) die sogenannte RLO-Schwachstelle (right to left override), die unsere Forscher ausfindig gemacht haben.

Vom Katzenfoto zum Miner / zur Backdoor

Die Schwachstelle wurde lediglich im Windows-Client von Telegram und nicht in der mobilen App gefunden. Unsere Experten haben nicht nur die Existenz der Schwachstelle entdeckt, sondern zudem herausgefunden, dass Angreifer diese aktiv nutzen. Die Betriebssysteme der Opfer sollten diese normalerweise warnen, wenn sie eine ausführbare Datei von einer unbekannten Quelle ausführen möchten – doch viele Leute klicken ohne hinzusehen auf „Ausführen“.

Wenn Sie ein solches Fenster sehen, brechen Sie den Download bitte sofort ab

Wenn Sie die Malware erst einmal heruntergeladen haben, zeigt diese Ihnen tatsächlich ein „süßes Kätzchen“ an, um beim User keinen Verdacht zu erwecken. Der Trojaner verfügt über verschiedene Arten von Nutzdaten, die je nach Konfiguration im Hintergrund ausgeführt werden können.

Nutzdaten-Typ eins ist ein versteckter Miner. Wenn dieser ausgeführt wird, wird der Computer langsamer und überhitzt weil er versucht, Kryptowährung für die Angreifer zu schürfen. Nutzdaten-Typ zwei ist eine Backdoor, mit der Cyberkriminelle den Computer fernsteuern können und quasi alles tun können, wonach ihnen zumute ist; angefangen bei der Installation und Deinstallation von Programmen bis hin zur Erfassung persönlicher Daten. Diese Art von Infektion kann für eine sehr lange Zeit verborgen bleiben, ohne dass der Benutzer etwas bemerkt.

Ruhig bleiben

Unsere Forscher teilten den Entwicklern von Telegram die Schwachstelle unverzüglich mit, die das Problem daraufhin behoben haben (natürlich sehr zum Ärger der Cyberkriminellen). Dies bedeutet jedoch nicht, dass Telegram und andere beliebte Instant-Messaging-Dienste keine Sicherheitslücken aufweisen. Sie sind schlichtweg noch nicht entdeckt oder gemeldet worden. Um sich also vor zukünftigen Plagen zu schützen, sollten Sie sich einige einfache Sicherheitsregeln noch einmal ins Gedächtnis rufen. Diese gelten für Social Media, Instant Messaging und andere elektronische Kommunikationsmittel:

  • Sie sollten weder Dateien riskanter Quellen herunterladen noch sollten Sie diese öffnen. Wenn Ihnen ein Unbekannter ein Bild schickt, sollten Sie zweimal darüber nachdenken dieses zu öffnen.
  • Wenn eine Systemwarnung beim Öffnen einer Datei erscheint, prüfen Sie, ob die Beschreibung mit der Datei übereinstimmt, die Sie öffnen möchten.
  • Installieren Sie eine zuverlässige Sicherheitslösung wie Kaspersky Internet Security, die Ihnen dabei behilflich ist, Malware zu erkennen, die sich während des Downloads oder der Installation als Foto tarnt. Natürlich schützt unsere Lösung Ihren Rechner auch vor anderen Infektionen.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.