Datendieb: Trojaner nutzt Corona-Angst, stiehlt sensible Nutzerdaten

Da die Angst vor dem Coronavirus in vollem Gange ist, machen sich die Malware-Verbreiter diese Angst zunutze. Nun ist eine Spam-Kampagne aufgetaucht, die einen Datendieb im Anhang hat. Ist der Trojaner erst einmal aktiviert, haben Betrüger nahezu freien Zugang zum PC. Die Spam-Kampagne gibt dabei vor, dass es sich dabei um eine offizielle Informationen über den Coronavirus (COVID-19) der Weltgesundheitsorganisation (WHO) handelt. Da heißt es unter anderem, dass die WHO mit dieser Mailing-Aktion gegen Falschnachrichten vorgehen will und besorgte Bürger informieren möchte. Im Anhang dieser Mail befindet sich allerdings ein bekannter Malware-Downloader, verpackt als .zip, der mit einem Trojaner namens FormBook verknüpft ist. Infografik: Das Coronavirus in Europa Auch der Trojaner ist ein alter Bekannter. Er stiehlt Nutzerdaten und leitet sie weiter, und das alles im Hintergrund unbemerkt vom Nutzer.

Zip-Datei, die sich als PDF ausgibt

Das Online-Magazin Bleeping Computer hat eine solche Kampagne gezeigt. Die E-Mail stammt von "corona-virus@caramail.com", die auch für weitere Phishing-Zwecke verwendet wird. Die angehängte Datei heißt "MEIN-HEALTH.PDF" und soll eine Übersicht bieten, um "die einfachste und schnellste Möglichkeit zu finden, Ihre Gesundheit zu schützen und andere zu schützen". Es handelt sich dabei aber nicht um eine PDF-, sondern um eine Zip-Datei, die eine ausführbare Datei namens MyHealth.exe enthält.

E-Mail-Anhang mit Malware-Downloader

Laut dem MalwareHunterTeam, das diese Spam-Kampagne entdeckt hat, handelt es sich bei der ausführbaren Datei um GuLoader, ein Malware-Downloader. Sobald der aktiv ist, lädt er den FormBook-Diebstahl-Trojaner nach, der auf den Inhalt der Windows-Zwischenablage zugreifen kann und so Tastatureingaben protokolliert und Daten stehlen kann, während man zum Beispiel im Internet surft, Online-Banking macht oder Bestellungen aufgibt.

"Die Malware injiziert sich in verschiedene Prozesse und installiert Schnittstellen, um Tastatureingaben zu protokollieren, den Inhalt der Zwischenablage zu stehlen und Daten aus HTTP-Sitzungen zu extrahieren. Die Malware kann auch Befehle von einem Command-and-Control-Server (C2) ausführen. Zu den Befehlen gehört die Anweisung an die Malware, Dateien herunterzuladen und auszuführen, Prozesse zu starten, das System herunterzufahren und neu zu starten sowie Cookies und lokale Passwörter zu stehlen", erklärte FireEye bereits vor einigen Jahren zur Vorgehensweise des Trojaners.

"Mit dieser Malware können Angreifer Bankdaten, Anmeldeinformationen für Websites, Cookies, mit denen sie sich als Opfer auf Websites anmelden können, und den kompletten Inhalt der Windows-Zwischenablage stehlen. Das bedeutet, dass diejenigen, die mit dieser Malware infiziert sind, einem erheblichen Risiko für Identitätsdiebstahl, Online-Banking-Diebstahl und die Kompromittierung anderer Konten, bei denen sie sich normalerweise anmelden, ausgesetzt sind."

Die Weltgesundheitsorganisation WHO hat sich bereits dem Thema Corona-Spam angenommen und warnt selbst davor, dass Kriminelle die Angst vor dem Virus ausnutzen wollen. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet Download Bitdefender Total Security Multi-Device 2020- Umfassender Schutz Download Avira Free Antivirus - Kostenloser Virenscanner Spam, Lebensmittel, Dosenfleisch Freezelight / Flickr