Achtung gefälschtes Windows-Update: Fantom tarnt sich als legitime Anwendung

Keine Kommentare
 

Sicherheitsbewusste Anwender achten sehr genau darauf, dass ihr Betriebssystem immer auf dem aktuellen Stand ist. Cyberkriminelle wissen das – und nutzen diese Tatsache im Rahmen einer aktuellen Malware-Kampagne gnadenlos aus. Indem sie den Verschlüsselungstrojaner Fantom als Windows-Update tarnen, erhöhen sie die Wahrscheinlichkeit einer erfolgreichen Infektion. Bisher ist der Verbreitungsweg der neuen Ransomware noch unbekannt, so dass ein gesundes Misstrauen gegenüber Update-Meldungen anzuraten ist.


Windows Logo

Achtung gefälschtes Windows-Update: Fantom tarnt sich als legitime Anwendung (pixabay.com/geralt)

Der offizielle Windows Update Server kann laut Expertenmeinungen als Ursprung der Kampagne so gut wie ausgeschlossen werden. Wahrscheinlicher ist der – durch Ransomware während der vergangenen Monate sehr häufig genutzte – E-Mail-Anhang als Verbreitungsweg. Oft handelt es sich dabei um unverdächtig wirkende, als Rechnung getarnte Word-Dokumente oder JavaScript-Dateien. Werden diese ausgeführt, extrahieren sie den Ransomware-Schadcode oder laden ihn aus dem Internet nach, um ihn anschließend auf dem System auszuführen.

Fake Windows Update-Screen ermöglicht unbemerkte Verschlüsselung

Der Ablauf der Verschlüsselung sowie das anschließende Anzeigen einer Erpresserbotschaft ist nicht sonderlich innovativ. Was Fantom jedoch von anderer Ransomware unterscheidet, ist die initiale Verschleierung des Verschlüsselungsvorgangs. Dabei wurde auf Details geachtet: In Fantoms – durch einen Rechtsklick anzeigbaren – Datei-Eigenschaften sorgen Strings wie “critical update” oder “Copyright Microsoft 2016” dafür, dass sich der Nutzer in Sicherheit wiegt.

Diese Maskerade setzt sich nach dem Ausführen des vermeintlichen Updates nahtlos fort: Fantom zeigt einen gefälschten Windows Update-Screen mit sich drehendem Symbol und Prozent-Anzeige an. Die Schriftzüge “Configuring critical Windows Updates” und “Do not turn off your computer” prangen dem ahnungslosen Nutzer auf dem gewohnten blauen Hintergrund entgegen. Während er geduldig wartet, nimmt die Datei-Verschlüsselung ihren Lauf. Sie erfolgt mittels sehr sicherem AES-128-Algorithmus. Der erzeugte Key wird nicht lokal gespeichert, sondern per RSA-Kryptosystem verschlüsselt und an einen entfernten Command-and-Control-Server gesendet. Den verschlüsselten Dateien wird die Endung “.fantom” angehängt.

Experten raten: nicht zahlen, sondern vorbeugen

Die im Anschluss an das “Update” eingeblendete Erpresserbotschaft fordert den Nutzer zur Übersendung zweier verschlüsselter Dateien an eine E-Mail-Adresse auf. Indem sie diese entschlüsselt zurücksenden, wollen die Erpresser beweisen, dass sie – gegen Zahlung eines Geldbetrags – in der Lage sind, die Verschlüsselung rückgängig zu machen. Experten raten grundsätzlich davon ab, auf die Forderung einzugehen. Stattdessen gilt: Vorbeugung durch regelmäßige Backups und den Einsatz schützender Browser-Plugins und Anti-Viren-Software ist die beste Verteidigung.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen