Hacker infizierten bei der Download-Plattform Fosshub die Installer von Open-Source-Programmen mit Malware, die den Bootloader überschreibt.
Die Download-Plattform FossHub ist Ziel einer schwerwiegenden Hackerattacke geworden. Die Hacker haben die Installer von verbreiteten Open-Source-Programmen mit Malware infiziert, die den Bootloader überschreibt.
Fosshub ist eine Website, auf der Entwickler ihre Software hochladen, um diese für alle User zur freien Verfügung anzubieten. Es lassen sich dort Quellcodes und Setupfiles für zahlreiche beliebte Open-Source-Werkzeuge finden. Zu diesen zählen z.B. der Audioeditor Audacity oder das alternative Windows-Menü Classic Shell, die beide von der Infektion mit der Schadsoftware betroffen gewesen sein sollen.
Das Hacken der Download-Plattform hatte zur Folge, dass man u.a. beim Herunterladen der infizierten Classic Shell auch noch einen „Zusatz“ ebenfalls völlig gratis dazu bekommt, der dann den Master Boot Record (MBR) zerschießt und damit den PC so völlig unbrauchbar macht, denn nach einem Neustart fährt Windows dann nicht mehr hoch, sondern der PC zeigt eine Grußbotschaft der Hacker an. Bei vielen PCs kam es wohl kurz nach der Installation der Malware zu einem Bluescreen. Ironischerweise wirbt Fosshub mit dem Slogan: „No adware, No spyware, No bundles, No malware, Fast downloads, Free services and a single ad.“
Zugriff auf Datenbanken von Fosshub erlangt
Die dafür verantwortlichen Hacker haben sich auf einem Twitter-Account zu Wort gemeldet. Demnach gehören sie einer Gruppe namens Pegglecrew an. Laut der Botschaft dort hatten sie vollen Zugriff auf die Datenbanken von FossHub. Die Hacker behaupten, sie hätten auch Passwörter heruntergeladen. Diese sollen nicht „salted“ gewesen sein, von daher sind sie potenziell zu entschlüsseln.
Einige Nutzer berichten, dass die Malware nur mit Systemen funktioniert, die den klassischen MBR benutzen. Systeme mit einem EFI-Bootloader sollen nicht anfällig sein. Ob die Malware Daten löscht oder weitere Komponenten im System hinterlegt, ist bisher noch völlig ungeklärt. Allerdings wäre der Zeitpunkt für so eine Attacke clever gewählt. Mit dem neusten Windows 10 Anniversary Update läuft die Vorgängerversion von Classic Shell nicht. Gerade dadurch dürften viele User in diese Falle getappt sein.
Wie heise online berichtet, sollten sich betroffene Rechner mit Hilfe eines Windows-Installationsmediums oder eines Linux-Live-Systems bzw. anderen bootfähigen Reparaturtools in der Regel wieder startklar bekommen lassen, wobei das System anschließend gründlich auf etwaige weitere Manipulationen überprüft werden sollte.
Fazit
Auch wenn FossHub inzwischen wieder online ist und man wohl davon ausgehen darf, dass die Sicherheitslücke geschlossen wurde, gilt die grundsätzliche Empfehlung, dass man doch in erster Linie die Direktdownloads der Programme beim Hersteller nutzen sollte. Natürlich kann es theoretisch auch hier zu solchen Vorfällen kommen, die Wahrscheinlichkeit ist aber deutlich geringer.
Außerdem werden bei sonstigen Downloadquellen oftmals besondere „Installer“ gleich mit zur Installation angeboten, die Werbung und sonstige unerwünschte Extras in den Installationsprozess und manchmal auch der Programmnutzung einbauen.
Tarnkappe.info