Erpressungsprogramm Spora tarnt sich als "Chrome Font Pack"-Update

Es ist nicht überraschend, dass Cyberkriminelle kreativ genug sind, um für ihre Untaten Funktionen von Windows/Macs, Dienstleistungen, Netzwerke und Browser zu missbrauchen. Dieses Mal ist es Chrome. IT-Experte Brad Duncan hat allerdings das Erpressungsprogramm Spora aufgespürt, welches in der Cyberwelt immer berühmter und berüchtigter wird und die Geräte mit einem gefälschten „Chrome Font Pack“-Update infiltriert. Die Methode ist so ausgeklügelt wie die Bedrohung selbst. Chrome ist eins der beliebtesten Browser weltweit, woraus sich schließen lässt, dass sich die Autoren der durchdachten Krypto-Schadsoftware hohe Ziele gesteckt haben. Mit dem Ausmaß der Cyberaktion ähnelt die Bedrohung jedoch sehr dem Locky-Virus. Das Hauptdilemma ist hier ebenfalls: Kann man dieser Cyberbedrohung entkommen?

Exploit-Kits erfreuen sich unter Erpressungsprogrammentwicklern immer größerer Beliebtheit. Im Vergleich zu Spammails, welche immer noch einen geringeren Erfolg versprechen, ist diese Methode schwieriger zu erkennen und bietet mehr Flexibilität. Das aufmerksame Auge eines Virenforschers hat jedoch den getarnten Virus zum Glück entdeckt. Spora nutzt EITattack, um den Infiltrierungsprozess zu veranlassen. Die Gauner wählen hierbei schlecht geschützte Webseiten aus, um korrupten JavaScript-Code einzubetten. Die Webseiten sind hierdurch nicht mehr lesbar und der Quellcode wird angezeigt. Um das Problem zu beheben, wird die Installation von dem „Chrome Font Pack“ angeboten. Die Besucher werden dafür zu einer anderen Webseite weitergeleitet, wo die Fehlermeldung „HoeflerText font wasn’t found„ auftaucht. Hier soll man die Installation von update.exe erlauben. Die Mitteilungen sehen natürlich wie reguläre Pop-up-Benachrichtigungen von Chrome aus.

Selbst wenn man auf eine kompromittierte Webseite wie diese landet, lassen sich die Mitteilungen glücklicherweise problemlos schließen, wodurch man den Angriff verhindern kann. Interessant ist, dass Spora dieselben EITest-Methoden wie CryptoShield 1.0, die neueste Version von CryptoMix, nutzt. Zudem ist es sogar möglich, dass Spora in Wahrheit Cerber ist und man versucht dies zu verschleiern. Viele vermuten, dass die Ersteller von Locky und Cerber nun zusammenarbeiten oder die ein und dieselbe Bande hinter den Angriffen steckt. Legitime Webseiten werden immer häufiger ein Hilfsmittel für die Vorhaben von Hackern. Letztes Jahr versorgte die Webseite eines beliebten chinesischen Restaurants ihre Gäste mit einem Erpressungsprogramm statt dem Menü. Diese Ereignisse zeigen, dass es heutzutage für die Sicherheit des Computers wichtig ist, dass man auch selbst aufpasst. Selbst wenn man mehrere gut gekürte Sicherheitsanwendungen installiert hat, können die katastrophalen Folgen einer Infizierung mit einem Erpressungsprogramm zustande kommen, indem man leichtfertig suspekte Browsererweiterungen aktiviert oder korrupte Anhänge in Spammails öffnet.

Über den Autor
Julie Splinters
Julie Splinters - Expertin im Bereich Schadsoftwareentfernung

Julie Splinters ist die Nachrichtenredakteurin von DieViren. Ihr Bachelor war Anglistik, aber ihr früheres Interesse an Ostasien und insbesondere Japan veranlasste sie dazu Ostasienwissenschaften zu studieren.

Julie Splinters kontaktieren
Über die Firma Esolutions

In anderen Sprachen
Dateien
Software