Eine neue Bedrohung für Windows-Computer. Der Virus, der vom CozyBear-Kollektiv entwickelt wurde, ist als Film getarnt, der über Torrent heruntergeladen werden kann, und richtet großen Schaden an
Die Phantasie der Hacker scheint wirklich grenzenlos zu sein, und in der Vergangenheit war eine der Methoden, mit denen Webkriminelle unsere Computer infizieren, auch das Verstecken von Viren in Torrent-Dateien mit raubkopierten Filmen, die auf der bekannten Plattform The Pirate Bay (TPB) hochgeladen wurden.
Ein Beispiel für diese Praxis, das vor kurzem entdeckt und dann blockiert wurde, bevor es großen Schaden anrichten konnte, zeigt die Gefährlichkeit dieser Viren: In einer Torrent-Datei zum Herunterladen des Films "Millennium - What Doesn't Kill" wurde ein Schadcode gefunden, der die Ergebnisseiten der Suchmaschinen Google und Yandex verändert und versucht, einen Betrug durchzuführen, indem er Wikipedia-Seiten infiziert. Das Ziel ist immer dasselbe: hinter dem Rücken der Benutzer Geld zu verdienen, und zwar mit ausgeklügelten, hochentwickelten Taktiken.
Dieser Virus und Betrug wurde von CozyBear entwickelt, einer russischen Hackergruppe, die unter verschiedenen Namen bekannt ist (APT29, CozyDuke, CozyCar, Grizzly Bear). CozyBear ist seit 2008 aktiv, wurde aber im August 2015 berühmt, als es ihm gelang, in die E-Mail-Server des Pentagons einzudringen und Zugang zu mehr als 2.500 E-Mail-Konten von zivilen und militärischen Mitarbeitern des US-Verteidigungsministeriums zu erhalten.
Wie der Torrent-Virus funktioniert
Die Funktionsweise des Virus ist, kurz gesagt, folgende: In die Videodatei des raubkopierten Films wurde eine .LNK-Datei eingefügt. Diese Erweiterung wird für Windows-Verknüpfungen verwendet, d. h. für Verknüpfungen zu Originaldateien, die vielleicht auf dem Desktop platziert werden, um einen schnellen Zugriff auf Dateien oder Ordner zu ermöglichen, die sich an verschiedenen Stellen der Festplatte befinden. Als der Benutzer jedoch auf die gehackte Verknüpfung klickte, begann die Infektion: Ein PowerShell-Befehl wurde ausgeführt, der wiederum ein Skript mit bösartigem Code ausführte. Von da an waren Google- und Yandex-Suchen infiziert.
Hacked search engine results
Dazu änderte die Malware bestimmte Schlüssel in der Windows-Registrierung, um den Schutz von Windows Defender zu deaktivieren. Außerdem installierte er eine Firefox-Erweiterung namens "Firefox Protection" und modifizierte die Chrome-Erweiterung namens "Chrome Media Router". Auf diese Weise deaktivierte er die Schutzmechanismen des Betriebssystems und der beiden am häufigsten verwendeten Browser. Von da an stellte die Malware jedes Mal, wenn der Benutzer den Browser öffnete, um im Internet zu surfen, eine Verbindung zu einer Datenbank her und führte verschiedene Einstellungen und JavaScript-Code auf verschiedenen Webseiten aus.
Wenn der Benutzer beispielsweise bei Google nach "Spyware" suchte, wahrscheinlich auf der Suche nach der besten Antivirensoftware zum Schutz vor Spyware, zeigten die ersten beiden (gehackten) Ergebnisse statt der Antivirensoftware-Webseiten, die normalerweise ganz oben auf der Google-Suchseite erscheinen würden, Webseiten an, die ein Antivirusprogramm namens TotalAV empfahlen. Dasselbe geschah mit den Ergebnissen von Yandex, einer in Russland weit verbreiteten Suchmaschine.
Gefälschte Wikipedia-Spenden
Aber das ist noch nicht alles: Zusätzlich zur Infizierung von Suchmaschinenseiten infizierte dieser Virus, der in dem raubkopierten Film enthalten war, auch Wikipedia-Seiten, indem er oben ein Banner einblendete, das besagte, dass Wikipedia jetzt Spenden in Kryptowährungen annimmt (was absolut falsch ist). Auf dem Banner waren auch zwei Kryptowährungs-Wallet-Adressen angegeben, an die Spenden geschickt werden konnten: eine für Bitcoin, die andere für Ethereum. Geldbörsen, die den Hackern gehörten, versteht sich. Eine dritte Bitcoin-Wallet-Adresse wurde in den von der Malware heruntergeladenen Skripten gefunden, scheint aber nicht in den Wikipedia-Spendenbetrug einbezogen zu sein.
Alle drei Wallets sind Teil einer anderen bösartigen Aktivität, die darauf abzielt, Bitcoin- und Ethereum-Adressen auf Webseiten zu ersetzen. Bei dieser Taktik gibt es keine Anzeichen dafür, dass der Benutzer auf den Trick aufmerksam wird, da die Brieftaschen aus einer langen Reihe zufälliger Zeichen bestehen und die meisten Benutzer den Unterschied zwischen einer echten und einer gehackten Brieftasche nicht erkennen können. Jedes Mal, wenn der Benutzer eine Seite öffnete, die Zeichenfolgen von legitimen Kryptowährungs-Wallets enthielt, ersetzte der Virus diese Zeichenfolgen durch die der Hacker-Wallets und leitete Zahlungen und Spenden auf das Konto der Cyberkriminellen um.