Dridex-Botnetz offenbar von Unbekannten gehackt
Das von Kriminellen eigentlich zur Verteilung von Malware und für Angriffe auf Kunden von Online-Banking verwendete Dridex-Botnetz verteilt jetzt teilweise Sicherheitssoftware. Es handelt sich um eine gültige Kopie der kostenlosen Software von Avira. Wer dahinter steckt ist aber unklar.
Vermutlich wurden Teile des auf die Verteilung von Banking-Malware spezialisierten Botnetzes Dridex gehackt. Dem oder den Unbekannten gelang es, dass nun – statt wie eigentlich von den Kriminelle beabsichtigt – ein Installer für deren Malware eine aktuelle Version des Avira Antivirus Web-Installers übertragen wird. Damit wird auf betroffenen Rechnern dann statt des Dridex Loaders eine korrekte Kopie von Avira Antivirus heruntergeladen.
Der Hersteller hat den Sachverhalt und die Korrektheit der übertragenen Software inzwischen bestätigt. “Der Inhalt hinter der für den Download der Malware vorgesehenen URL wurde ersetzt, darüber wird nun eine originale und aktuelle Version des Avira Web Installer statt des sonst üblichen Dridex Loader aufgerufen”, erklärt Moritz Kroll, Malware-Expert bei Avira. Die Nutzer bekommen so statt Malware die signierte Avira-Software. “Wir wissen noch nicht, wer das mit unserem Installer macht und warum – aber wir haben ein paar Theorien”, so Kroll weiter. “Ganz sicher sind nicht wir selbst es, die das getan haben.”
Grundsätzlich gibt es zwei Erklärungsmöglichkeiten. Erstens könnten Cyberkriminelle damit versuchen, die Erkennungsprozesse von Avira und anderen Sicherheitsfirmen zu verwirren. Das glaubt Kroll aber eher nicht: Er hält es für unwahrscheinlich, dass die echten Hintermänner das Schutzniveau auf den Rechnern in irgendeiner Weise verbessern wollen.
Die zweite Theorie ist, dass ein sogenannter “Whitehat”-Hacker dahintersteckt. “Es ist möglich, dass ein Whitehat die Weserver über dieselbe Schwachstelle angegriffen hat, die zunächst die Malware-Autoren genutzt hatten und dann die schlechten Sachen durch den Avira Installer ersetzt hat,” erklärt Kroll. Dass die Hacker unerkannt bleiben wollen sei nachvollziehbar. “Obwohl das was sie tun grundsätzlich hilfreich ist, ist es reich rechtlich gesehen in den meisten Ländern dennoch illegal”, so Kroll.
In der Vergangenheit war der Avira Installer bereits einmal den Ransomware-Varianten CryptoLocker und Tesla hinzugefügt worden. Im Fall von CryptoLocker erwartet die Malware in den meisten Fällen eine Kommunikation mit dem Command-and-Control-Server. Avira konnte daher in dem Fall nicht ausgeführt werden. Außerdem sei der Großteil der Änderungen bei einem bestimmten Provider zu beobachten gewesen. Warum bei der Tesla-Ransomware der Avira-Installer eingeschleust wurde, ist noch unklar.
Im Herbst hatten bislang Unbekannte bei DSL-Routern die Software Linux.Wifatch eingeschleust. Unbestritten ist, das sie heimlich auf DSL-Routern und anderen netzwerkfähigen Geräten platziert wurde. Eine Untersuchung des Symantec-Spezialisten Mario Ballano ergab, dass Wifatch handelsübliche Heimrouter und andere netzwerkfähige Hardware infiziert. Allerdings wurden bei den Geräten dann zunächst Sicherheitslücken geschlossen.
Teilweise wurde sogar bereits gefundene Malware entfernt. Indem es den Telnet Daemon abstellt, versucht Wifatch zudem weitere Zugriffe zu verhindern. Schließlich erhält der Eigentümer des Geräts eine Nachricht, mit der Aufforderung, das Password zu ändern und ein Firmware-Update durchzuführen. Unklar ist, warum die Software den Schutz der Geräte verbessert und wer dahintersteckt.
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.