Die Sicherheitsanalysten des Zsacler ThreatLabZ-Teams stießen auf gefälschten Webseiten für Raubkopien unlängst auf Kampagnen zur Verbreitung von Infostealer-Malware. Besonders Kleinstunternehmen die sich per Raubkopie Geld sparen wollen, können so in größere Probleme geraten, als wenn sie die Software kaufen würden.
Diese Verbreitungsart von Schadcode zielt auf Personen ab, die wissentlich auf einer illegalen Plattform eine Raubkopie herunterladen und deshalb nicht so genau darauf achten, was sie damit im Hintergrund auf die Festplatte ziehen. Dieses Verhalten bezahlen sie im Fall der nun aufgedeckten Malware-Kampagnen mit der Preisgabe von privaten Informationen, die im Nachgang für weitere kriminelle Machenschaften genutzt werden können.
Raubkopie-Seiten sterben nicht aus
Vor mehr als 20 Jahren erblickte die wohl bekannteste Raubkopierbörse für Musik das Licht des Internets. Nachfolger wie Pirate Bay erweiterten die Medieninhalte um Filme, Serien oder Software. Obwohl in zahlreichen Gerichtsverfahren viele der gängigen Webbörsen inzwischen geschlossen wurden, gibt es nach wie vor Nachahmer und Trittbrettfahrer für Nutzer, die ein Investment oder Abo-Modell umgehen wollen. Nun suchen sich Cyberkriminelle ihre Opfer dort.
Das ThreatLabZ-Team analysierte nun einige Kampagnen, die zur Verbreitung von Infostealern auf Raubkopie-Webseiten setzen. Der Screenshot zeigt Google-Search Ergebnisse von gefälschten Raubkopierseiten, die denen für Software-Piraterie täuschend ähnlich sehen. Diese Kampagnen sind deshalb erfolgreich, da sie auf Personen abzielen, die im Zuge des illegalen Downloads von Software die Betrugsmasche von unterschiedlichen Pop-up-Fenstern nicht durchschauen.
Malware schnell per Pop-up-Fenster
Nach dem Klick zum Start des Downloads erfolgen unterschiedliche Redirects, die den Prozess der Erkennung verschleiern und schließlich zu der Seite mit dem Schadcode des Infostealers führen. Auf einer legalen Seite würde die Weiterleitung vermutlich die Alarmglocken läuten lassen. Besucher, die auf zweifelhaften Seiten unterwegs sind, könnten eher davon ausgehen, dass es sich dabei um einen Prozess des Geschäftsmodells von Shareware-Seiten handelt. Nachdem die User auf die finale Seite umgeleitet und der Download beendet wurde, verbirgt sich die Payload des Schadcodes in einer Zip-Archivdatei mit mehr als 10 MB Größe. Im untersuchten Beispiel ist die URL, die die Malware hostet, ein Open Directory mit mehr als 3000 schädlichen Zip-Archiven, die sich als typische Dateien von gehackter Software ausgeben.
Die Kampagnen zeigen, wie Angreifer das Verhalten der Benutzer durch die Verbreitung raubkopierter Software ausnutzen, um Infostealer-Schadprogramme zu verbreiten. Benutzer können diese Infektionen leicht verhindern, indem sie diese illegale Praxis vermeiden und nur legitime Webseiten besuchen und Software von vertrauenswürdigen Quellen beziehen.
Mehr bei Zscaler.com
Über Zscaler Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.