Zippyshare: Sharehoster verbreitet Malware, SSL-Zertifikat war abgelaufen

Kommentare zu folgendem Beitrag: Zippyshare: Sharehoster verbreitet Malware, SSL-Zertifikat war abgelaufen

Das sieht nach einem perfiden Plan der Seuchenvögel aus ! Hat sich noch keiner mal gefragt, warum man bislang noch nichts davon gehört hat, dass ein Filehoster von einem Crypto-Trojaner betroffen war? Weil die Seuchologen nicht blöd sind - denn nichts ist einfacher, als einen großen Filehoster für sich, bei der massenhaften Verteilung neuer Malware, arbeiten zu lassen!
Deren Infrastruktur ist vorhanden, riesengroß und hat den klaren Vorteil, dass die potenziellen Opfer die Server völlig freiwillig ansteuern… :wink:

Bei Zippyshare sind seit ca. 2,5 Wochen folgende Infektionen aktiv:

  • mod_Downloader.exe
  • TES-IV_OBLIVION_4x_v.2.0_(Vanilla Remaster).exe

Dabei ist die erste Executable nur eine neue Benennung der ursprünglichen Exe!

Dies scheint allerdings nicht die eigentliche Schadsoftware zu sein, sondern nur ein vorbereitender Downloader, wie man nach einer kurzen Analyse direkt erkennen kann.

File Version Information
Copyright: Copyright © 2020 Kuzja80
Product: Upscaled textures 4x v.2.0 downloader
Description: Automatic Downloader
Original Name: mod_Downloader.exe
Internal Name: mod_Downloader.exe
File Version: 4.1.0.5
Comments: TES IV: OBLIVION Upscaled 4x v.2.0 (vanilla remaster)

Es stellt sich also die Frage, für was dieses Downloader-Modul final genutzt wird??

1 „Gefällt mir“

Ich danke dir für all die detaillierte Information. Wie gesagt, jetzt wäre drei Dinge interessant herauszufinden.

  1. was genau wird nachgeladen
  2. was ist der Sinn und Zweck des ganzen
  3. Betrifft es „nur“ die Download-Seite, oder auch die Uploads-Seiten bei ZS

PS: was sind Seuchenvögel? :rofl:

Ist ja klar das Cannapower gegen Zippyshare schiesst, wenn man einen eigenen Filehoster hat, oder? :smiley:

Das ist momentan noch ein wenig undurchsichtig anscheinend! Vielleicht auch ein Grund mehr, warum man zur Verbreitung Zippy nutzt. Es gibt nämlich irgendwie keine verwertbaren Samples zu dem nachgeladenen Müll - das liegt u.a. auch daran, da die User, die dort uppen und downen es vielleicht gar nicht merken werden, wenn sie beim downloader keine Alarmmeldung bekommen haben?! :wink:
Oder weil diese Verteilungsaktion ein groß angelegter „Feldtest“ ist für zukünftige Seuchenvogel-Aktionen…?!

Hybrid-Analysis vermutet, auf Grund der letzten Monate bei Zippyshare, dass eher so etwas final geladen werden soll:

ID: T1056

Sub-techniques: T1056.001, T1056.002, T1056.003, T1056.004

Tactics: Collection, Credential Access

Platforms: Linux, Network, Windows, macOS

Permissions Required: Administrator, SYSTEM, User, root

Data Sources: API monitoring, Binary file metadata, DLL monitoring, Kernel drivers, Loaded DLLs, PowerShell logs, Process command-line parameters, Process monitoring, User interface, Windows Registry, Windows event logs

CAPEC ID: CAPEC-569

Contributors: John Lambert, Microsoft Threat Intelligence Center

Version: 1.2

Created: 31 May 2017

Last Modified: 21 October 2020

Und erfahrungsgemäß diese eine, der vier genannten Attack-IDs > ID: T1056.004

P.S.
Die berühmten Seuchenvögel sind laut Heinz Sielmann sehr scheu und kaum in der freien Wildbahn aufzufinden! Man würde aber direkt wissen, wenn man mit ihnen unbewußterweise Kontakt hatte!! :rofl: :rofl:

@labradev Merkwürdig, ausgerechnet Zippyshare ist aber einer der beiden Pflichthoster bei Cannapower. Wenn die etwas gegen die hätten, würden sie auf andere Freehoster setzen, oder nicht?

Müffelnde Fische und Seuchenvögel. Wenn das so weitergeht, können wir bald eine Zoohandlung aufmachen. :crazy_face:

Also ich finde, es ist ein feiner Zug von Cannapower seine Nutzer zu warnen.

Ja, genauso sehe ich das auch. :slight_smile:

Müffelnde Fische ??
Ich kenne nur die uralte Group „Fickende Fische im Fernsehen“ !! :rofl: :rofl:
Aber, ob die gemüffelt haben, kann ich dir beim besten Willen nicht beantworten… :crazy_face:

Hier mal die aktuelle Liste der C&C Server, welche seit Anfang November in Betracht kommen könnten, für einen event. Download nach dem Zippyshare-Infect :wink:

Firstseen (UTC) Host Malware Status SBL Network (ASN) Country
2020-12-03 15:35:13 36.74.73.136 TrickBot - Online Not listed AS7713 TELKOMNET-AS-AP PT Telekomunikasi Indonesia - ID
2020-12-03 05:00:06 191.7.201.200 TrickBot Offline Not listed AS263327 ONLINE SERVICOS DE TELECOMUNICACOES LTDA - BR
2020-11-29 21:00:19 45.4.32.50 Heodo - Online Not listed AS266044 ROBERTO MANELLA AMOROSO - ME - BR
2020-11-29 21:00:16 202.79.24.136 Heodo - Online Not listed AS24492 IIT-WICAM-AS-AP WiCAM Corporation Ltd. - KH
2020-11-29 21:00:14 54.36.185.60 Heodo - Online Not listed AS16276 OVH - FR
2020-11-29 20:18:49 110.145.11.73 Heodo - Online Not listed AS1221 ASN-TELSTRA Telstra Corporation Ltd - AU
2020-11-29 20:15:49 190.251.216.100 Heodo Offline Not listed AS13489 EPM Telecomunicaciones S.A. E.S.P. - CO
2020-11-26 21:22:31 194.5.249.29 TrickBot Offline Not listed AS64398 NXTHOST-64398 NXTHOST.COM - NXTSERVERS SRL - RO
2020-11-26 21:22:31 94.140.115.150 TrickBot Offline Not listed AS43513 NANO-AS - LV
2020-11-26 21:22:31 156.96.156.165 TrickBot Offline SBL461359 AS46664 VDI-NETWORK - US
2020-11-26 21:22:31 86.104.194.16 TrickBot Offline Not listed AS48874 HOSTMAZE HOSTMAZE - RO
2020-11-26 21:22:31 94.140.115.189 TrickBot Offline Not listed AS43513 NANO-AS - LV
2020-11-26 21:22:31 23.237.137.66 TrickBot Offline Not listed AS174 COGENT-174 - US
2020-11-26 21:22:31 195.123.240.108 TrickBot Offline Not listed AS204957 GREENFLOID-AS - US
2020-11-26 21:22:31 185.234.72.75 TrickBot Offline Not listed AS30823 COMBAHTON combahton GmbH - DE
2020-11-26 21:22:31 185.163.45.140 TrickBot Offline Not listed AS39798 MIVOCLOUD - MD
2020-11-26 21:22:31 185.14.29.119 TrickBot Offline Not listed AS21100 ITLDC-NL - NL
2020-11-26 21:22:31 185.244.151.107 TrickBot Offline Not listed AS60117 HS - RO
2020-11-26 21:22:31 195.123.242.176 TrickBot Offline Not listed AS204957 GREENFLOID-AS - US
2020-11-26 20:25:25 45.184.103.73 Heodo Offline Not listed AS269771 PRINTER-NET-SERVICE, C.A. - VE
2020-11-26 19:30:07 187.62.208.234 TrickBot Offline Not listed AS28165 Wireless Comm Services LTDA - BR
2020-11-23 19:42:18 45.12.110.179 TrickBot Offline Not listed AS35913 DEDIPATH-LLC - US
2020-11-23 19:42:18 94.140.114.99 TrickBot Offline Not listed AS43513 NANO-AS - LV
2020-11-23 19:42:18 212.8.251.21 TrickBot Offline Not listed AS60117 HS - NL
2020-11-23 19:42:18 192.119.171.218 TrickBot Offline Not listed AS55154 MADGEN-01 - US
2020-11-23 19:16:23 175.145.248.25 Heodo Offline Not listed AS4788 TMNET-AS-AP TM Net, Internet Service Provider - MY
2020-11-23 19:16:22 191.223.36.170 Heodo - Online Not listed AS8167 Brasil Telecom S/A - Filial Distrito Federal - BR
2020-11-23 01:53:56 108.21.72.56 Heodo Offline Not listed AS701 UUNET - US
2020-11-21 18:48:21 172.125.40.123 Heodo - Online Not listed AS7018 ATT-INTERNET4 - US
2020-11-21 18:48:21 185.201.9.197 Heodo - Online Not listed AS47583 AS-HOSTINGER - DE
2020-11-21 18:42:25 82.137.29.8 Heodo Offline Not listed AS8708 RCS-RDS 73-75 Dr. Staicovici - RO
2020-11-21 18:42:25 180.232.111.30 Heodo - Online Not listed AS9658 ETPI-IDS-AS-AP Eastern Telecoms Phils., Inc. - PH
2020-11-21 18:42:25 111.67.12.222 Heodo - Online Not listed AS55803 HOSTOPIA-AU Hostopia Australia Web Pty Ltd - AU
2020-11-21 00:47:55 74.128.121.17 Heodo Offline Not listed AS10796 TWC-10796-MIDWEST - US
2020-11-19 19:52:42 24.101.229.82 Heodo Offline Not listed AS27364 ACS-INTERNET - US
2020-11-19 19:37:11 24.69.65.8 Heodo Offline Not listed AS6327 SHAW - CA
2020-11-19 05:52:32 141.136.0.4 TrickBot Offline Not listed AS43513 NANO-AS - LV
2020-11-19 05:44:28 201.102.218.101 Heodo Offline Not listed AS8151 Uninet S.A. de C.V. - MX
2020-11-19 05:44:23 190.18.184.113 Heodo Offline Not listed AS10318 Telecom Argentina S.A. - AR
2020-11-18 16:47:09 161.0.153.60 Heodo Offline Not listed AS27800 Digicel Trinidad and Tobago Ltd. - TT
2020-11-18 16:46:48 103.229.72.197 Heodo - Online Not listed AS55660 MWN-AS-ID PT Master Web Network - ID
2020-11-17 19:54:29 51.75.222.163 TrickBot Offline Not listed AS16276 OVH - FR
2020-11-17 15:27:19 199.189.108.71 TrickBot Offline Not listed AS29854 WESTHOST - US
2020-11-17 14:48:49 162.212.158.135 TrickBot Offline Not listed AS11878 TZULO - US
2020-11-16 05:13:24 156.96.119.28 TrickBot Offline SBL461359 AS46664 VDI-NETWORK - US
2020-11-14 13:30:10 43.245.216.190 TrickBot Offline Not listed AS24492 IIT-WICAM-AS-AP WiCAM Corporation Ltd. - KH
2020-11-14 13:30:10 49.156.41.74 TrickBot Offline Not listed AS24492 IIT-WICAM-AS-AP WiCAM Corporation Ltd. - KH
2020-11-14 13:30:06 45.230.8.34 TrickBot Offline Not listed AS266710 Gimenez Pedro Santiago (Clorindaconectada) - AR
2020-11-13 20:27:34 156.96.62.82 TrickBot Offline SBL461359 AS46664 VDI-NETWORK - US
2020-11-13 18:32:27 91.200.103.217 TrickBot Offline Not listed AS30823 COMBAHTON combahton GmbH - DE
2020-11-13 18:07:29 94.140.115.229 TrickBot Offline Not listed AS43513 NANO-AS - LV
2020-11-13 18:07:29 91.200.103.193 TrickBot Offline Not listed AS30823 COMBAHTON combahton GmbH - DE
2020-11-13 18:07:28 144.172.64.26 TrickBot Offline Not listed AS8100 ASN-QUADRANET-GLOBAL - US
2020-11-13 07:24:54 181.165.68.127 Heodo - Online Not listed AS10318 Telecom Argentina S.A. - AR
2020-11-12 19:56:45 195.123.241.22 TrickBot Offline Not listed AS204957 GREENFLOID-AS - US
2020-11-11 23:43:23 99.247.33.186 Heodo Offline Not listed AS812 ROGERS-COMMUNICATIONS - CA
2020-11-11 21:25:19 113.163.216.135 Heodo Offline Not listed AS45899 VNPT-AS-VN VNPT Corp - VN
2020-11-11 18:50:25 94.140.115.91 TrickBot Offline Not listed AS43513 NANO-AS - LV
2020-11-11 18:47:35 195.123.240.119 TrickBot Offline Not listed AS204957 GREENFLOID-AS - US
2020-11-11 18:42:44 194.5.249.196 TrickBot Offline Not listed AS64398 NXTHOST-64398 NXTHOST.COM - NXTSERVERS SRL - RO
2020-11-11 10:53:47 195.123.241.222 TrickBot Offline Not listed AS204957 GREENFLOID-AS - US
2020-11-10 13:28:20 195.123.241.226 TrickBot Offline Not listed AS204957 GREENFLOID-AS - US
2020-11-09 19:48:23 195.123.240.40 TrickBot Offline Not listed AS204957 GREENFLOID-AS - US
2020-11-09 19:38:42 94.140.115.99 TrickBot Offline Not listed AS43513 NANO-AS - LV
2020-11-09 16:44:20 189.55.48.40 Heodo Offline Not listed AS28573 CLARO S.A. - BR
2020-11-08 19:08:15 41.231.225.139 Heodo Offline Not listed AS2609 TN-BB-AS Tunisia BackBone AS - TN
2020-11-08 02:04:18 208.74.26.234 Heodo Offline Not listed AS32584 I-NETLINK - CA
2020-11-08 02:04:16 190.146.92.48 Heodo Offline Not listed AS10620 Telmex Colombia S.A. - CO
2020-11-08 02:04:10 5.2.212.254 Heodo Offline Not listed AS8708 RCS-RDS 73-75 Dr. Staicovici - RO
2020-11-07 21:26:18 110.39.162.2 Heodo - Online Not listed AS38264 WATEEN-IMS-PK-AS-AP National WiMAX/IMS environment - PK
2020-11-07 21:26:17 86.127.212.235 Heodo Offline Not listed AS8708 RCS-RDS 73-75 Dr. Staicovici - RO
2020-11-07 21:26:15 181.120.72.110 Heodo Offline Not listed AS23201 Telecel S.A. - PY
2020-11-07 17:55:58 37.221.70.250 Heodo Offline Not listed AS49121 INFTELE-AS - CZ
2020-11-07 17:46:51 79.110.52.103 TrickBot Offline Not listed AS9009 M247 - NL
2020-11-07 06:55:50 66.85.183.5 TrickBot Offline Not listed AS20454 SSASN2 - US
2020-11-07 06:55:50 91.200.102.21 TrickBot Offline Not listed AS30823 COMBAHTON combahton GmbH - DE
2020-11-07 06:55:50 51.81.112.135 TrickBot Offline Not listed AS16276 OVH - US
2020-11-07 06:55:50 194.5.249.176 TrickBot Offline Not listed AS64398 NXTHOST-64398 NXTHOST.COM - NXTSERVERS SRL - RO
2020-11-07 05:05:29 185.163.47.157 TrickBot Offline Not listed AS39798 MIVOCLOUD - MD
2020-11-07 02:39:49 186.146.229.172 Heodo - Online Not listed AS10620 Telmex Colombia S.A. - CO
2020-11-07 01:40:24 94.52.168.188 Heodo Offline Not listed AS48161 NG-AS Sos. Bucuresti - Ploiesti nr. 42-44 - RO
2020-11-06 20:18:20 78.125.252.112 Heodo Offline Not listed AS8228 CEGETEL-AS - FR
2020-11-06 20:00:28 81.241.22.161 Heodo Offline Not listed AS5432 PROXIMUS-ISP-AS - BE
2020-11-06 20:00:28 27.78.27.110 Heodo Offline Not listed AS7552 VIETEL-AS-AP Viettel Group - VN
2020-11-06 20:00:28 27.82.13.10 Heodo Offline Not listed AS2516 KDDI KDDI CORPORATION - JP
2020-11-06 00:38:19 5.2.182.7 Heodo Offline Not listed AS8708 RCS-RDS 73-75 Dr. Staicovici - RO
2020-11-06 00:38:15 80.15.100.37 Heodo - Online Not listed AS3215 France Telecom - Orange - FR
2020-11-05 19:40:19 98.150.169.135 Heodo Offline Not listed AS20001 TWC-20001-PACWEST - US
2020-11-05 19:40:15 12.184.217.101 Heodo Offline Not listed AS7018 ATT-INTERNET4 - US
2020-11-05 19:40:14 109.116.245.80 Heodo Offline Not listed AS30722 VODAFONE-IT-ASN - IT
2020-11-05 19:40:13 51.89.36.180 Heodo - Online Not listed AS16276 OVH - GB
2020-11-05 19:00:00 177.85.167.10 Heodo Offline Not listed AS52743 Twister Soft Net Ltda - BR
2020-11-05 19:00:00 186.188.212.201 Heodo Offline Not listed AS18809 Cable Onda - PA
2020-11-05 18:59:02 74.75.104.224 Heodo - Online Not listed AS11351 TWC-11351-NORTHEAST - US
2020-11-05 18:54:13 154.127.113.242 Heodo Offline Not listed AS37358 BITCO - ZA
2020-11-05 13:48:14 221.161.206.22 Heodo Offline Not listed AS4766 KIXS-AS-KR Korea Telecom - KR
2020-11-05 13:48:10 82.208.149.146 Heodo Offline Not listed AS6830 LIBERTYGLOBAL Liberty Global (formerly UPC Broadband Holding, aka AORTA) - RO
2020-11-03 22:12:14 190.147.84.191 Heodo Offline Not listed AS10620 Telmex Colombia S.A. - CO
2020-11-03 16:47:43 190.7.217.90 Heodo Offline Not listed AS27876 American Data Networks - CR
2020-10-29 19:16:38 181.120.29.49 Heodo - Online Not listed AS23201 Telecel S.A. - PY

wenn ich den JDownloader einsetze bin ich davor erstmal sicher oder sind die heruntergeladenen Dateien auch in irgend einer Weise infiziert?

Es geht nur um den eigentlichen Besuch der Webseite. Den Virenscanner würde ich so oder so drüber laufen lassen, nach dem Download…

Das würde ja dann bedeuten, dass nicht nur sämtliche Zippyshare-Server vollst. verseucht wären, sondern auch, dass zig Millionen Files dort im einzelnen hätten infiziert werden müssen! Kaum vorstellbar! Dann wäre nämlich der Dienst selber völlig wertlos und wäre schon lange abgeschaltet worden!

Bei Files, die Filme, Serien und Musik etc. enthalten würde das noch funktionieren. Aber bei Spielen und Programmen, welche mit Patch / Crack ausgeliefert werden, ist das wohl kaum zu empfehlen!
Bei dieser Art von Dateien wird ein Scanner immer etwas finden, was ihm nicht gefällt und den Crack oder Patch entweder vollständig löschen bzw. seine Funktion zerstören!! Also eher kontraproduktiv bei diesen Files! :wink:

CannaPower warnt immer noch:

Wir schalten Uploads auf Zippyshare wieder frei, aber bitte beachten:
Wer von Zippyshare downloaded, sollte unbedingt ein Downloadtool benutzen (z. B. JDownloader). [seit 13.12.2020]