Wie bringt man Internet-Nutzer am einfachsten dazu, Malware zu laden? Man versteckt sie hinter den Namen von beliebten Programmen und Diensten, wie Skype, Adobe Reader und VLC Player. VirusTotal hat jetzt eine Untersuchung dazu veröffentlicht.
Dieser alte Trick läuft auch im Jahr 2022 trotz zahlreicher Sicherheitsmechanismen immer noch erschreckend gut. Cyberkriminelle verbreiten ihre Schadsoftware auf Download-Plattformen und selbst erstellten Websites unter dem Namen von bekannten Anwendungen.
Ihre Opfer bemerken den Schwindel, wenn überhaupt erst dann, wenn es zu spät ist und ein unter falschem Namen angebotener Trojaner installiert wurde und sein Unwesen treibt.
Einfach ausgetrickst
"Einer der einfachsten Social-Engineering-Tricks, die wir gesehen haben, besteht darin, ein Malware-Beispiel als legitimes Programm erscheinen zu lassen", schreibt VirusTotal in einem neuen Bericht zur Gefahrenanalyse für Endverbraucher. "Das Symbol dieser Programme ist ein entscheidendes Merkmal, um die Opfer davon zu überzeugen, dass diese Programme legitim sind."
Das heißt aber auch, dass viele Nutzer allein von dem App-Icon davon ausgehen, dass sie den Download für die "echte" Anwendung herunterladen. Dabei geht es gar nicht einmal um kostenpflichtige Programme, die als Cracks auf diversen Plattformen dann kostenlos angeboten werden.
Hacker ziehen ihre Opfer auch mit regulär kostenfreier Software in Scharen an. Laut VirusTotal gehören 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom und WhatsApp neben Skype, Adobe Reader und VLC zu den absoluten Spitzenreitern für den Trick.
Gestohlene Zertifikate
Die Zahl der Schadprogramme, die rein optisch legitime Anwendungen imitieren, nimmt in den letzten Monaten stetig zu. Wer nun glaubt, er könne durch einfache Vorsichtsmaßnahmen egal von welchen Quellen seine Programme laden, den klärt VirusTotal mit der Analyse nun auf. Rund 87 Prozent der mehr als eine Million signierten bösartigen Samples, die seit Januar 2021 bei VirusTotal zur Prüfung hochgeladen wurden, haben eine gültige Signatur, schummeln sich also so schon einmal durch. Diese Zertifikate wurden von anderen Softwareherstellern gestohlen.
Es überrascht nicht, dass Bedrohungsakteure auf eine Vielzahl von Methoden zurückgreifen, um Endgeräte zu kompromittieren, indem sie ahnungslose Benutzer zum Herunterladen und Ausführen scheinbar harmloser ausführbarer Programme verleiten.
Malware kommt auch "Huckepack" mit echten Apps
VirusTotal hat außerdem seit Januar 2020 insgesamt 1816 Beispiele entdeckt, die sich als legitime Software ausgaben, indem sie die Malware in Installationsprogramme für andere beliebte Software wie Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox und Proton VPN verpackt haben, also sich eingeschleust haben.
Alternativ werden legitime Installationsprogramme in komprimierte Dateien zusammen mit Malware verseuchten Dateien gepackt. Es gibt noch eine dritte Methode, die zur Schadcode-Verbreitung genutzt wird. Das legitime Installationsprogramm wird dabei als ausführbare Ressource in den Schadcode eingebunden, sodass das Installationsprogramm auch ausgeführt wird, wenn die Malware gestartet wird, um den Eindruck zu erwecken, dass die Software wie vorgesehen funktioniert.
Anmelden
Wie bringt man Internet-Nutzer am einfachsten dazu, Malware zu laden? Man versteckt sie hinter den Namen von beliebten Programmen und Diensten, wie Skype, Adobe Reader und VLC Player. VirusTotal hat jetzt eine Untersuchung dazu veröffentlicht.
Dieser alte Trick läuft auch im Jahr 2022 trotz zahlreicher Sicherheitsmechanismen immer noch erschreckend gut. Cyberkriminelle verbreiten ihre Schadsoftware auf Download-Plattformen und selbst erstellten Websites unter dem Namen von bekannten Anwendungen.
