Statt falscher Anti-Spyware-Programme jetzt falsche Festplatten-Dienstprogramme
Nachdem falsche Anti-Spyware-Programme Nutzern jahrelang Trojaner- und Virenbefalle vorgegaukelt hatten, scheinen bei Cyberkriminellen nun vorgebliche Festplatten-Dienstprogramme in Mode zu kommen. Neben ‚HDD Defragmenter‘, ‚Quick Defragmenter‘, ‚Win HDD‘ und ‚Win Defrag‘ begegnen die Experten der Barracuda Labs am häufigsten einer Anwendung mit dem Namen ‚HDD Diagnostic‘.
Mit der Meldung "11 Fehler entdeckt!" versucht die Anwendung den User zu täuschen
Bei dieser Attacke bedienen sich Cyberkriminelle oft des sogenannten Malvertisments, Schadcode in Online-Anzeigen: Werbecontent ist als kleiner JavaScript-Code in Internetseiten eingebunden. Mittlerweile stellen die Adserver immer häufiger schädlichen Content bereit. Auch bekannte Webseiten wie die von Tageszeitungen wurden in der Vergangenheit so zur Gefahr.
Der hier dargestellte Fall hatte seinen Ursprung auf einer solchen seriösen Webseite, die Werbung von perconel.com enthielt. Um diese einzubinden, wurde ein schwer durchschaubarer JavaScript-Code verwendet. In den meisten Fällen waren keine Probleme zu beobachten, manchmal fügte der Adserver jedoch kleine JavaScript-Zusätze hinzu – es ergab sich folgendes Bild:
Dekodiertes JavaScript
Der zusätzliche JavaScript-Teil öffnet ein verstecktes Browserfenster. Es wird eine Domain aufgerufen, von der aus der Computer angegriffen wird. Eine Reihe von Exploitversuchen findet statt, bis schließlich der Download des vorgeblichen Festplatten-Dienstprogrammes gestartet wird:
Festplatten-Utility-Scareware auf infiziertem Desktop
Mit ausgesprochener Nonchalance meldet die Malware unten rechts auf dem Bildschirm: “Kritischer Fehler: Keine Festplatte gefunden. Fehlende Festplatte.“ Trotz der Dreistigkeit der Aussage dürfte diese Art der Meldung von den meisten Anwendern ernst genommen werden.
Die Scareware zeigt konstant Fehlermeldungen an und blockiert die Ausführung anderer Programme. Gelegentlich startet sie den Computer neu, und lässt den Bildschirm schwarz werden. Erlaubt man dem vermeintlichen Dienstprogramm schließlich, das Problem zu beheben, wird das Ziel der Attacke deutlich: Es erscheint eine Zahlungsaufforderung.
Screenshot der Zahlungsaufforderung
Der Inhalt dieser Eingabemaske stammt von einer Betrugsseite names secure.billsecurepay.com. Das Wort ,secure` – ,sicher` – wird ausgiebig benutzt, die Logos verschiedener Verifizierungsanbieter vermitteln zusätzlich den Eindruck von Seriosität. Sicher ist hier allerdings nur, dass beim Absenden des Formulars 80 US-Dollar auf das Konto der Betrüger überwiesen werden.
Die Barracuda Labs sehen in dem neuen Vorgehen eine Reaktion auf das gestiegene Bewusstsein hinsichtlich vorgeblicher Anti-Spyware. Die Effektivität solcher Attacken ist mit steigender Bekanntheit geringer geworden. Die vorgestellte Strategie ist noch weitgehend unbekannt, verfolgt aber dasselbe Ziel, mit fast den selben Mitteln. Deshalb gilt auch hier die Aufforderung, eine solide aktuelle Antivirus-Lösung zu nutzen und Web-Traffic zu filtern.
