Dateilose Infektion: Malware Kovter tarnt sich als Firefox-Update

Keine Kommentare
 

Das Bestreben, den Browser immer auf dem neuesten Stand zu halten, um Malware-Infektionen durch Sicherheitslücken vorzubeugen, kann auch zum gegenteiligen Ergebnis führen. Die Malware Kovter etwa, die Sicherheitsexperten bereits seit einigen Jahren bekannt ist, tarnt sich neuerdings als Firefox-Update samt gültigem Zertifikat. Sobald sie heruntergeladen und ausgeführt wurde, nistet sie sich dauerhaft in der Registry des PCs ein. Man spricht von einer dateilosen Infektion, die häufig vollkommen unbemerkt bleibt.


Binär Code über einer Weltkugel

Dateilose Infektion: Malware Kovter tarnt sich als Firefox-Update (pixabay.com / geralt)

Erstmals in Erscheinung trat Kovter im Jahr 2013: Als Scareware mit Polizei-Logo versuchte die Malware damals, mit Benachrichtigungen über illegale Downloads Geld zu erpressen. Zu diesem Zweck kam eine .exe-Datei zum Einsatz, die sich auf dem jeweiligen Rechner vor allem mittels Polymorphie tarnte, also in der Lage war, sich durch Veränderungen ihrer Struktur vor Virenscannern zu verbergen. Spätestens Ende 2015 änderte Kovter sein Vorgehen: Die ehemalige Erpresser-Software wandelte sich zu einer Klickbetrugs-Malware. Die Sicherheitsexperten des Software-Unternehmens Checkpoint berichteten im April 2016 auch von Kovter-Varianten, die als dateiverschlüsselnde Erpresser-Software agieren. Zudem kam 2015 erstmals die Methode der dateilosen Funktion zum Einsatz.

Verstecken – betrügen – abkassieren

Wie Mitglieder des Malware Research Teams der Firma Barkly berichteten, lauert Kovter neuerdings als gefälschtes Firefox-Update auf kompromittierten Download-Portalen und speziell präparierten Websites. Besonders gefährlich ist dieses “Update” dank eines gültigen SSL-Zertifikats, das ausgerechnet von der IT-Sicherheits-Firma Comodo stammt. Das Zertifikat verstärkt den Eindruck einer vertrauenswürdigen Datei und kann überdies auch der Erkennung durch Anti-Viren-Software entgegenwirken. Mittlerweile wurde Comodo allerdings durch Barkly über den Missbrauch informiert, so dass das Zertifikat seine Gültigkeit verloren haben dürfte.

Ausgehend von dem angeblichen Firefox-Update findet die so genannte dateilose Infektion statt. Diese zunächst widersprüchlich klingende Bezeichnung bedeutet, dass die Malware nach Abschluss ihrer Installation weder auf die Ausgangsdatei angewiesen ist, noch neue Dateien auf dem System hinterlässt. Kovter legt stattdessen Einträge an mehreren Orten in der Registry an, welche laut des Barkly-Teams ein verschlüsseltes Script enthalten. Dieses wird mittels der in Windows enthaltenen PowerShell ausgeführt und sorgt dafür, dass Kovter als Prozess in den Arbeitsspeicher geladen wird und dort seine Schadfunktionen ausführen kann. Ob Klickbetrug oder Ransomware: Finanzielle Interessen sind der Antriebsmotor für die aktuelle Malware-Kampagne per gefälschtem Firefox-Update.

Angesichts der Bedrohung durch Kovter ist es hilfreich zu wissen, dass moderne Browser wie Firefox über eine automatische Update-Funktion verfügen. Sofern diese nicht deaktiviert wurde, aktualisiert sich der Browser somit von selbst. Blinkenden Pop-Ups mit Update-Aufforderungen ist grundsätzlich zu misstrauen. Hier ist es am vernünftigsten, die soeben besuchte Website umgehend zu verlassen, ohne die Meldungen zu beachten oder gar darauf zu klicken.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen