Eine selbst erklärte Hacker-Gruppe aus Russland installiert laut dem Virenschutzhersteller Bitdefender Datendiebstahl-Malware und gibt dabei vor, dass die Software für Angriffe auf westliche Regierungen und die USA entwickelt wurde.
Vor dem Hintergrund der Ukraine-Krise haben Hacker äußerst raffinierte Spam-Nachrichten auf den Weg gebracht, hinter denen sich ein Trojaner verbirgt. Die Nachrichten zielen dabei auf Unterstützer der russischen „Sache“ ab, die alle Maßnahmen gegen ihr Land verurteilen. Nutzer, die auf die schädlichen Links klicken, werden ohne ihr Wissen Teil des Botnetzes und tragen so zur weiteren Verbreitung der Malware bei.
Der Trojaner installiert drei saubere Dateien für die Überwachung des Datenverkehrs (npf_sys, packet_dll, wpcap_dll) und ist in der Lage, sensible Informationen zum Browser-Verlauf, Internet-Datenverkehr und andere persönliche Daten zu sammeln.
„Wir, eine Gruppe von Hackern aus der Russischen Föderation, sind besorgt über die unangemessenen Sanktionen, die der Westen gegen unser Land verhängt hat“, so die arglistigen Nachrichten, die von Bitdefenders Russisch sprechenden Spam-Forschern übersetzt wurden.
„Wir haben unsere Antwort in Code gefasst und unten finden Sie den Link zu unserem Programm. Führen Sie die Anwendung auf Ihrem Computer aus und sie wird in aller Stille damit beginnen, die Regierungsbehörden der Staaten anzugreifen, die sich an den Sanktionen beteiligen.“
Nach einem Klick auf die Links laden die Opfer eine ausführbare Datei mit dem Namen Kelihos herunter. Der Trojaner kommuniziert mit dem Command-and-Control-Center, indem er verschlüsselte Nachrichten über HTTP austauscht, um weitere Anweisungen zu erhalten.
Abhängig von der verwendeten Schadroutine kann Kelihos folgende Aktionen durchführen:
- mit anderen infizierten Computern kommunizieren
- Bitcoin Wallets stehlen
- Spam-Nachrichten versenden
- FTP- und E-Mail-Zugangsdaten sowie vom Browser gespeicherte Anmeldedaten stehlen
- weitere schädliche Dateien auf das betroffene System herunterladen und ausführen
- Datenverkehr für FTP-, POP3- und SMTP-Protokolle überwachen
Die Bitdefender-Labs haben eine der jüngsten Spam-Wellen mit schädlichen Inhalten untersucht und festgestellt, dass alle .eml-Dateien auf setup.exe-Links verweisen, mit fünf eindeutigen IPs. Drei davon führen in die Ukraine, die anderen beiden konnten Polen und der Republik Moldau zugeordnet werden.
„Bei einigen handelt es sich vielleicht um Server speziell für die Malware-Verbreitung oder auch um weitere infizierte Computer, die Teil des Kelihos-Botnetzes geworden sind“, erklärt Bitdefender-Chief Security Strategist, Catalin Cosoi. „Dabei ist es schon irgendwie ironisch, dass die Mehrzahl der infizierten IPs in der Ukraine zu finden sind. Dies lässt den Schluss zu, dass auch hier Computer infiziert wurden oder dass sich die Verteilserver in der Ukraine selbst befinden.“
Bitdefender blockiert die schädliche Spam-Welle und den Kelihos-Trojaner und schützt so Anwender-Computer vor Infektionen.
Um möglichst viele Nutzer von ihrer Glaubwürdigkeit zu überzeugen, haben die russischen Hacker ihre Nachrichten mit etwas Marketing-Glanz aufgehübscht. Sie behaupten, dass ihr Programm unauffällig im Hintergrund läuft und dabei maximal 10 bis 50 Megabyte Datenverkehr verursacht und praktisch keine CPU-Zeit in Anspruch nimmt.
„Nach dem Neustart Ihres Computers stellt unser Programm alle Aktivitäten ein, bei Bedarf können Sie es selbst wieder starten“, verspricht die Spam-Nachricht. „Falls nötig deaktivieren Sie dazu Ihren Virenschutz.“
Selbstverständlich ist es nicht ratsam, Ihre Sicherheitslösung zu deaktivieren. Stattdessen sollten Sie diese installiert lassen und jederzeit aktuell halten, ebenso wie alle anderen Software-Installationen und Ihr Betriebssystem, da sich schädliche Programme die Schwachstellen in nicht aktuellen Systemen gerne zu Nutze machen.
Auch unter dem Namen Hlux bekannt, wurde das Kelihos-Botnetz bereits vor vier Jahren entdeckt. Seine Hauptaufgabe ist der Diebstahl von Bitcoins und der Spam-Versand. Das Botnetz verfügt über eine Peer-to-Peer-Struktur, in der einzelne Knoten als Command-and-Control-Server für das gesamte Botnetz dienen können, und so seine Lebensdauer verlängern.
Im Januar 2012 wurde eine neue Version des Botnetzes entdeckt und Microsoft erstattete Anzeige gegen einen russischen Bürger als mutmaßlichen Urheber des Quellcodes hinter dem Kelihos-Botnetz.
Alle hier genannten Produkte oder Firmennamen dienen nur der Identifikation und sind Eigentum und unter Umständen Marken der jeweiligen Rechteinhaber.
Dieser Artikel basiert auf Spam-Beispielen, die mit freundlicher Genehmigung von Adrian Miron, Virenforscher bei Bitdefender, zur Verfügung gestellt wurden sowie auf technischen Informationen von Bitdefender-Virenanalystin Doina COSOVAN.
