Goldene Himbeeren für Malware: Die schlechtesten Performances des Jahres

Leonardo di Caprio hat ihn endlich! Den lang ersehnten Oscar. Am Sonntag fand zum 88. Mal die Oscar Night statt, bei der zum Beispiel der beste Schauspieler, Regisseur und Film mit der goldenen Statue geehrt wurden. Keiner will dieses Ereignis verpassen – im Gegensatz zu einer Preisverleihung, die seit 36 Jahren vor der Oscar-Krönung über die Bühne geht: Die Auszeichnung mit der Goldenen Himbeere, sozusagen die Kehrseite des roten Teppichs. Die Trophäen gehen an die schlechtesten Filmwerke und –schaffenden. Sylvester Stallone kann davon ein Lied singen.

Aber der Preis für die größten Blamagen auf der Leinwand lässt sich auch auf andere Bereiche ausdehnen. So wie das Publikum an dilettantischer Handwerkskunst gelitten hat, ertragen auch IT-User die Folgen von „Schleuderware“ diverser Malware-Autoren. Wir haben deshalb Schadcodes genauer unter die Lupe genommen, die Nutzern das Leben schwergemacht haben und unsere eigenen Goldenen Himbeeren für Malware vergeben.

Die Kategorien sind ähnlich: angefangen bei den Visuellen Effekten über das Kostümdesign hin zum Drehbuch und Hauptdarsteller im weiteren Sinne.

Ein dunkles Kapitel

Was die visuellen Effekte angeht, gibt es für uns nur einen Gewinner. Unsere „Razzie“, wie der Preis auch im Englischen genannt wird, verleihen wir an die Hintermänner des Stromausfalls in der Ukraine. Mit der BlackEnergy Malware-Familie haben sie ganze Arbeit geleistet und womöglich den Einwohnern der Region Iwano-Frankiwsk die dunkelsten Stunden ihres Lebens beschert.

Das Angriffsszenario war einfach gestrickt: Mitarbeiter in Energieversorgungsunternehmen erhielten gezielt eine Spear-Phishing-Mail mit verseuchten Anhang. Beißt ein Opfer an und öffnet das Dokument, infizierte er das System mit dem Trojaner.

Einmal aktiviert, sind die Kriminellen in der Lage, bestimmte Kriterien zu prüfen, ob der Computer wirklich zum anvisierten Ziel gehört. Bestätigte sich dies, wird die Malware auf dem System ausgeführt und kann immensen Schaden anrichten.

Endloser Mummenschanz mit Porn-Clicker

Der nächste „Razzie-Award“ geht an Porn-Clicker, auch bekannt als Android/Clicker, und zwar in der Kategorie Kostümdesign. Der Trojaner wurde erst vor kurzem erneut von ESET-Forscher Lukáš Štefanko entdeckt. Die Verstellungskunst der Malware, sich als beliebte Spiele wie Dubsmash im Google Play Store zu tarnen und Nutzer zu täuschen, hat letzteren viel Geld und Zeit gekostet. Bereits Mitte des letzten Jahres wurden erste Varianten analysiert und an den offiziellen Google Shop gemeldet.

Nach der Installation generieren die Porn Clicker-Trojaner gefälschte Clicks auf Werbeanzeigen, um so den Umsatz ihrer Hintermänner in die Höhe zu treiben, bestehlen Werbetreibende und schaden Werbeplattformen. Diese Art von Malware verursacht eine Menge Internet-Traffic, was zu einem hohen Datenverbrauch und dementsprechend je nach Vertrag zu zusätzlichen Kosten für das Opfer führen kann.

“Es gab eine Reihe an Malware-Kampagnen auf Google Play, aber keine hat so lange angehalten und so hohe Infektionsraten erzielt”, sagt Lukáš Štefanko. In Zusammenarbeit mit seinen Forscherkollegen konnten sie 343 mit Porn Clicker verseuchte Anwendungen in den letzten sieben Monaten ausmachen, jede von ihnen wurde im Durchschnitt 3.600 Mal von Nutzern heruntergeladen.

Die B-Währung

Ein anderer Schadcode mit aufmerksamkeitserregender Leistung im letzten Jahr war Corkow – ein auf Bankensoftware zugeschnittener Trojaner. Er hat die Trophäe als schlechtester Drehbuchautor eingeheimst, dafür, dass er zwei Währungen richtig in Wallungen brachte und Einfluss auf den Wechselkurs nahm. Über die Handelssysteme der Bank konnte er Währungs-Transaktionen vornehmen und den Rubelkurs in heftige Schwankungen versetzen.

Auch wenn der Trojaner nur wenige finanzielle Einbußen bei den Opfern verursachte, war es ein spürbarer Angriff gegen eine Handelsplattform. Über ihn konnte eine Reihe an Bestellungen im Wert von über 200 Millionen US-Dollar (Kauf und Verkauf kombiniert) ausgelöst werden. Zum Glück war das Drehbuch so schlecht, dass es nicht bis zum Ende durchgespielt werden konnte.

„Der Angriff dauerte nur 14 Minuten und gleich danach hat die Malware den Befehl erhalten, sich selbst vom infizierten System zu löschen und all seine Spuren zu verwischen“, erklärt Anton Cherepanov in seiner Analyse, ein Malware-Forscher bei ESET.

Der Kartenleser

Im Rahmen unserer Verleihung der Goldenen Himbeere gibt es eine Malware, die angesichts ihres Modus Operandi heraussticht: Win32/Spy.Odlanor, auch bekannt als Poker-Cheater. Sie hat sich ihren ersten Platz als schlechtester Darsteller in Gestalt eines Online-Kartenspielers redlich verdient.

Die Malware war auf zwei sehr beliebte Pokerseiten fixiert: Full Tilt Poker und PokerStars.

Im Glauben, eine nützliche Anwendung herunterzuladen, infiziert sich der Nutzer mit Odlanor. Meistens nutzt er für den Download einen Drittanbieter. Der Trojaner tarnt sich als harmloser Installer für beispielsweise Poker-bezogene Programme wie Pokerspieler-Datenbanken oder Rechner für Pokerquoten.

Nach erfolgreicher Infektion ist der Odlanor in der Lage, Screenshots vom Fenster der zwei anvisierten Poker-Clients PokerStars oder Full Tilt Poker zu machen, wenn das Opfer dort zockt. Die Bilder werden dann an den Computer des Angreifers gesendet, die anschließend problemlos abgerufen werden können. Der Betrüger sieht nicht nur die Karten des infizierten Spielers gegenüber, sondern auch dessen Spieler-ID. Eine gute Partie für den Kriminellen, denn beide Poker-Seiten ermöglichen die Suche nach Spielern anhand dieser Spieler-ID. Das heißt, er kann sich ganz einfach mit den Spieltischen seiner Opfer verbinden. In seinen späteren Versionen schaffte es Odlanor sogar, Daten wie im Webbrowser gespeicherte Passwörter zu stehlen.

Welche Malware würden Sie nominieren? Und in welcher Kategorie? Wir sind gespannt auf Ihre Kommentare.

Autor , ESET