Cheater im Visier: Vorsicht, neuer YouTube-Trojaner stiehlt Passwörter

Ein neuer Trojaner hat es bei YouTube auf Nutzer abgesehen, die auf der Video-Plattform nach Cheater-Tools suchen. Arglose Spieler werden so auf angebliche Download-Seiten für Cheats gelockt, wo ihnen allerdings unbemerkt ein Trojaner per RAR-Datei ... mehr... Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd Bildquelle: / Flickr Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
In dem Fall hält sich mein Mitgefühl für die Betroffenen durchaus in gewissen Grenzen, zumindest, so lange sich der Trojaner lediglich auf deren Kisten austobt.
 
@DON666: Warum nur in diesem Fall ?
 
@iPeople: Weil es eben auch normale Unschuldige/Unwissende treffen kann bzw. trifft. Nur weil jemand nicht so bewandert mit der Computermaterie ist, wünsche ich dem doch nicht gleich automatisch die Trojaner an den Hals. Bei denen, die sich Cheats besorgen wollen, naja, sollen sie halt auch noch eine kleine Payload obendrauf kriegen, meinetwegen.
 
Welcher Noob sucht denn auf YouTube nach Cheats? :D
 
@BloodEX: Es gibt Trottel, die nach buchstäblich allem auf YT suchen. Gerade im Zockbereich, hab im Forum genug Trottel getroffen, die statt im Steam-Supportbereich lieber auf YT suchen.
 
@Kirill: What? Es gibt Leute, die sogar im Steam-Supportbereich nach Cheats suchen? :o
 
@BloodEX: Ja, die gibt's auch. Ich weiß da immer nicht, ob ich eigentlich lachen oder weinen soll. Mindestens einen Fall habe ich auch bereits gesehen, der sich beschwert hat, weil der Trainer inkompatibel mit der Steam-Version des Spiels war.
 
@BloodEX: Nach Cheats nicht, aber nach Hilfe. Also Unterstützung. Also Support. Ich raff es einfach nicht, wie bescheuert man sein muss, um (aus Prinzip, vermutlich) irgendwo anders Info zu suchen als auf der offiziellen Seite. Im Forum hab ich aber einen Trottel getroffen, der eiskalt Hilfe gesucht hat bei seinem Job als Cheattester, also ob ein Cheat sicher ist. Da kam er echt ins Steamforum mit.
 
Als ob das was neues ist. Solche Videos mit angeblichen "Gratis Hacks" gibts schon Jahre. Wer darauf reinfällt, selbst schuld. Da hab ich kein Mitleid.
 
Einerseits wird der Trojaner in RAR verpackt, andererseits soll er sich selbstständig entpacken. Für alle, die jemals ein RAR (oder irgendein Archiv) aus der Nähe gesehen habe, ist das ein Widerspruch.
 
@Kirill: Das hab ich mir beim Lesen der ersten paar Sätze eben auch gedacht.
 
@Kirill: Vielleicht sind selbstentpackende RARs gemeint, die als .exe daherkommen? Klingt jedenfalls etwas merkwürdig. Zumindest dürfte da ohne aktives Klicken des Users normalerweise (mal wieder) nichts passieren.
 
@DON666: Selbst wenn's 'ne EXE ist, man muss sie nach dem Runterladen immer noch ausführen. Also nach wie vor alles andere als selbstständig. Wobei es genug Trottel gibt, die zwischen "Link geklickt" und "Malware läuft" anscheined eine Erinnerungslücke haben. Dass se den Download bestätigt haben und die Malware ausgeführt haben, tut ja nun echt nix zur Sache...
 
@Kirill: Sag ich doch...
 
@DON666: Ich weiß. Ich wollte nur noch eine Anekdote aus dem Hinterkopf rausholen. Ich fass einfach nicht, wie doof Leute sein können.
 
@Kirill: Ich frage mich auch wie der Download direkt startet nach dem man den Link klickt. Bei jedem Browser den ich bisher hatte wurde stets be einem Download um die Bestätigung gefragt, und von alleine hat sich nach dem Herunterladen auch bisher nie was automatisch geöffnet. (Nutze nur Firefox, Chrome, Chromium oder Epiphany)
 
@techniknarr: Auch wenn du diese ganz, ganz bösen Browser von dieser ganz, ganz, bösen Firma, also den Microsoft Internet Explorer oder den Microsoft Edge benutzt, ist das nicht anders, ob du's glaubst oder nicht.
 
@DON666: Ich wollte keinem Browser etwas unterstellen (habe letzt den Edge auf einem Tablet genutzt und selbst dort kam die Frage, ob die gewünschte Datei heruntergeladen werden soll oder nicht).

Das war eine ernst gemeinte Frage, wie es eine Seite schafft, ohne jedwede Interaktion des Benutzers (abgesehen vom Aufruf der Seite) einen Download zu starten und die Datei dann ausführen zu lassen ("(...) selbstständig lädt und entpackt (...)") würde ich echt gerne wissen.
 
@techniknarr: Ich halte das schlicht für eine falsche Aussage. Ist mir zumindest - wie du ja auch schreibst - noch niemals untergekommen.
 
Es gibt da Videos, wie Du einen Cheat zum Beispiel anwenden kannst, und es wird gezeigt, wie dieser sich im SPiel dann auswirken kann. Ich bin auch kein Freund von Cheats. Das ist wie falsches Spielen.
 
Ganz ehrlich... Mit Cheatern und solchen die es werden wollen hab ich kein Mitleid.
 
"Arglose Spieler werden so auf angebliche Downloads-Seiten für Cheats gelockt" ... "Der Trojaner wird über Links im Kommentar-System von YouTube verteilt" ... ja, was denn nun????? Das ganze klingt nach einem ganz flauen Nachrichtentag. Und neu ist das ganze auch nicht, seit es Second Life gibt, gibt es Videos, in denen ein Tool gezeigt wird, mit dem man sich ganz viele Linden-Dollar holen kann.
 
Ein paar Details mehr wären sinnvoll: Läuft diese Malware nur im RAM oder will die sich installieren oder wie? In letzterem Fall hätten ja von fachleuten installierte Systeme kein Problem, weil nur Laien ständig den ersten Account mit vollen Administratorrechten fürs Surfen usw. verwenden.
Die Infektionsart wird auch sehr unterschiedlich angegeben, irgendwie ist das alles nix.
 
@Drachen: Und wie kommt die Malware an die Passwörter? Geben die User nochmal das Admin-PW für den Chrome ein?
 
@wertzuiop123: ich denke mal, entweder lesen sie diese direkt aus den Dateien von der Festplatte.

Also die Datei "Login Data" unter "C:\Users\$username\AppData\Local\Google\Chrome\User Data\Default" bei Chrome

die datei "login.json" unter %Appdata%\Mozilla\Firefox\Profiles\* bei Firefox

etc.

oder die Dateien werden wie mit den andreren Dateien aufm Desktop mit in den Ordner kopiert, gepackt und übersandt.
 
@Hideko1994: Das schon, die sind aber encrypted. Werden dann wohl Brute Force oder sowas versuchen
 
@wertzuiop123: vielelleicht müsste ich mir mal in einer Virtuellen Maschine anschauen.. wie genau er bei den Browserdaten vorgeht.

Zumindest hab ich es beim ersten Testlauf schon gesehen, dass bei mir im TEMP Ordner (%TEMP%) ein Ordner namens "EE9937CE" vorhanden ist.

Inhalt des Ordners EE9937CE:
1 Ordner mit Namen Directory
1 ZIP-Datei mit dem Namen EE9937CE.

Innerhalb des Directory Ordners sind wiederrum 3 Ordner zu finden - "Browsers", "Files" und Wallets"

Im Ordner Browsers sind vier 0 KB-Dateien mit den Namen"Autofill.txt", "CC.txt", "Cookies.txt" und "Passwords.txt" zu finden. 0 KB deshalb weil beim Firefox nichts vorzufinden war, außer Cookies - aber ich glaub dass der Trojaner nach speziellen Cookies suchte (denke mal Sessionstore)

Im Files Ordner fand ich zwei Ordner namens Desktop und Filezilla. Im Ordner Desktop fand ich meine zum Test angelegte Textdokument "*** ***.txt" (Name mit Sternchen umgeändert, da ich eine Beleidgung als Namen verwendet hatte. Inhalt dieses Textdokuments war auch der selbe wie der auf dem Windows-Desktop.)

Die drei PDF Dateien auf dem Windows-Desktop lagen, waren in dem Verzeichnis nicht zu finden.

Der Ordner "Filezilla" war leer. ebenso wie der "Wallets"-Ordner.

Getestet wurde es auf einer Virtuellen Maschine mit Windows 8.1 Pro mit dem Defender der 1726 Tage alte Definitionen besitzt. Es sind keine Gasterweiterungen installiert.
Kleine Info: das Alter der Definition innerhalb der Virtuellen Maschine ist dementsprechend Absicht, weil ich nicht möchte, dass der Defender nicht automatisch eingreift.
 
@Hideko1994: So 2 Tests diesmal:

1. Feststellung: Es wird immer die Selbe Verzeichnisstruktur und die Selben Namen verwendet zum einen für das Speichern des Trojaners auf der Festplatte sowie der ordner der verpackt verschickt wird.

2. Feststellung: Firefox ignorierte er komplett. Also da wird nichts ausgelesen. Deshalb auch die 0 KB Dateien im Ordner Browser.

Chrome, wie bereits im Artikel stehend, schon. Login Daten sowie AutoFill stehen jeweils im Klartext - Cookies ebenfalls. CC.txt blieb weiter leer.

Die Browser Daten wurden wohl von einer Anwendung namens "IOcrypter (1).exe" entschlüsselt und in die jeweiligen Text-Dateien geschrieben.

Beim Ordner FileZilla werden wie beim Desktop-Ordner entsprechende XML Dateien ("filezilla_recentservers.xml" sowie "filezilla_sitemanager.xml") aus dem %appdata% ausgelesen und in den EE9937CE-Ordner geschrieben. Auch das übernahm das Programm "IOcrypter (1).exe"

Bei den Login Daten sowie FileZilla hab ich mich übrigens nirgendswo mit meinem realen Daten angemeldet, sondern habe mir eine zweite VM aufgesetzt auf dem ein XAMPP- und ein IIS-System (wegen dem MailEnable WebMail) liefen und hab auf dem XAMPP-System einmal Joomla und Moodle installiert, eingerichtet und mit einem Test Account (Name: "Test") jeweils angemeldet und Login gespeichert.
 
Kommt natürlich drauf an, was für eine Art von Cheats die Leute suchen, geht es aber um Multiplayer Titel, dann verdrücke ich keine Träne für die Klientel welche darauf rein fällt ;)
 
Naja das über Youtube versucht wird Viren zu verteilen ist neues , aber die kannst überall einfangen und hat mit selbst Youtube nicht wirklich was tun. Da könntest auch dem Namen Facebook vorsetzen oder andere wo man auch diese Links zum Download verteilen könnte.
Kommentar abgeben Netiquette beachten!
Einloggen

WinFuture auf YouTube

Jetzt als Amazon Blitzangebot

Ab 07:25 Uhr USB C Stick PLUSMARRT USB Stick 64GB 3 in 1 USB Stick, Speicherstick Speichererweiterung für MacBook Pro, Android Handy, Pad, Laptop und ComputerUSB C Stick PLUSMARRT USB Stick 64GB 3 in 1 USB Stick, Speicherstick Speichererweiterung für MacBook Pro, Android Handy, Pad, Laptop und Computer
Original Amazon-Preis
21,99
Im Preisvergleich ab
?
Blitzangebot-Preis
18,69
Ersparnis zu Amazon 15% oder 3,30