Sicherheitsexperten von ReasonLabs warnen vor Malware-Angriffen. Die Schadsoftware verbreitet sich dabei über Super Mario Bros-Raubkopien.
Cyberkriminelle nutzen derzeit den Hype um den Kinofilm Nr. 1. The Super Mario Bros. Movie ist derzeit der beliebteste Film. An den Kinokassen hat er weltweit aktuell mehr als 1 Milliarde US-Dollar eingespielt. Verschiedene im Internet verfügbare Mitschnitte davon enthalten jedoch offenbar einen Trojaner.
Super Mario Bros-Raubkopien: Trojaner-Verbreitung über Twitter als Quelle möglich
Die Sicherheitsforscher von ReasonLabs fanden auf Geräten von Benutzern, die sich Raubkopien von Super Mario Bros zogen, Dateien, die auf Windows-Systemen Schadsoftware verbreiten. Dabei handelt es sich um einen Trojaner, der eine Web-Erweiterung installiert, die die Suchfunktion des Benutzers kapert. Damit wollen sich die Cyber-Angreifer „einen finanziellen Gewinn verschaffen oder vertrauliche Informationen stehlen“, wie ReasonLabs berichtete.
Auch schon in der Vergangenheit hätte der Cyber-Angreifer diesen Trojaner zusammen mit beliebten Filmen und Software verbreitet. Gemäß ReasonLabs ist die Malware eine der am weitesten verbreiteten bösartigen Erweiterungen. Nachdem die Sicherheitsforscher die Dateien bereits geraume Zeit verfolgt hatten, haben sie diese am 30. April dieses Jahres erstmals im Zusammenhang mit dem Film Super Mario Bros identifiziert.
Super Mario Bros: Mehrere Millionen PCs durch Mitschnitt infiziert
ReasonLabs teilte mit, dass der Fund auftrat, direkt nachdem sich Millionen den Super Mario Bros-Film von Twitter angeschaut hatten. Somit wäre der Trojaner danach mehr als 150.000 Mal in freier Wildbahn aufgetaucht. Außer den ReasonLabs-Usern sollen zudem Millionen Benutzer auf der ganzen Welt davon betroffen sein.
Die Sicherheitsforscher stellten fest, dass sich zahlreiche Betroffene an verschiedene Online-Foren wie Microsoft Answers, Bleeping Computer, Reddit und dem Google-Support wandten und dort um Hilfe beim Entfernen der bösartigen Erweiterung gebeten haben.
Browser-Hijacker ziehen unerwünschte Folgen nach sich
Der Trojaner schreibt sich ein unter den Dateinamen c:\users\user\downloads\the super mario bros moviehd.exe und c:\users\user\downloads\the super mario bros moviecam.exe. Der Browser-Hijacker wurde hierbei mit dem Ziel erstellt, die Einstellungen des Internetbrowsers ohne Zustimmung und Wissen des Benutzers zu ändern. Detailliert informieren die Sicherheitsforscher von ReasonLabs über weitere Auswirkungen:
„Normalerweise ändern sie die Homepage eines Benutzers oder seine Standardsuchmaschine. Sie könnten auch unerwünschte Anwendungen oder Add-ons installieren. Das Ziel eines Browser-Hijackers besteht oft darin, die Suchanfragen eines Benutzers auf eine andere Suchmaschine umzuleiten oder unerwünschte Werbung anzuzeigen, was wiederum einen Gewinn für den Cyber-Angreifer generieren kann.
Erweiterung hat es auf die Websuchfunktion abgesehen
Die bösartige Erweiterung kapert die Websuchfunktionen der Benutzer, indem sie sich selbst zahlreiche sensible Browserberechtigungen erteilt. Da es sich um eine lokale Erweiterung handelt, kann sie nicht aus dem Google Chrome Web Store entfernt werden. Darüber hinaus wird die Schadsoftware nicht vom Google Chrome Web Store-Team überwacht oder geprüft und unterliegt daher keinen Sicherheitsbeschränkungen.
Der Trojaner ersetzt die primären Browser-DLLs, um die Standardsuchleiste zu steuern, und fügt seine eigene DLL ein, indem er in den AppInit-Registrierungsschlüssel schreibt. Wir können auch daraus schließen, dass die Erweiterung aufgrund des großen Aufwands, der in die Verbreitung des Trojaners gesteckt wird und der vom Angreifer verwendeten Umgehungstechniken nach einem Update oder nach einiger Zeit weitere Aktionen ausführen kann.“
Malewarebytes bietet Lösung an
Malwarebytes wirbt in dem Zusammenhang für AdwCleaner, einem kostenlosen Tool. Mit diesem könne man ihnen gemäß nach einer Infektion „Adware, Spyware, PUPs (potenziell unerwünschte Programme), Browser-Hijacker sowie unerwünschte Browser-Symbolleisten scannen und entfernen“.