Was Sicherheitsexperten den Schlaf raubt

Woche 48: Der etwas andere Blue Screen des Todes

Uhr
von Coen Kaat

Verwirrte Siri schreit um Hilfe, Kryptoschürfer schlafen nicht mehr und der feine Unterschied zwischen doofen und cleveren Hackern. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Der Hacker-Gruppe Cobalt ist ein kleines Malheur passiert. Die äusserst versierte Gruppe ist auf Banken und Finanzinstitute spezialisiert. Nun soll sie aber versehentlich eine Liste ihrer aktuellen Ziele veröffentlicht haben, wie Bleepingcomputer berichtet.

Die Gruppe startete eine Phishing-Kampagne per E-Mail. Der Betreff lautete "Changes to the terms", hatte keinen Text, dafür aber eine infizierte RTF-Datei. Diese sollte die Schwachstelle CVE-2017-11882 im Formeleditor der Office-Suite ausnutzen. Blöderweise gaben die Hacker die Adressen jedoch nicht im Blindkopie-, also im BCC-Feld, sondern in der regulären Adresszeile ein.

Die Folge: Alle adressierten Finanzinstitute und ihre Sicherheitsberater konnten sehen, dass die Spam-Kampagne nur an eine Gruppe ausgewählter Banken ging, und sie konnten sehen, um welche Banken es sich handelt. Die Mehrheit der Ziele war in Russland und der Türkei. Dasselbe sei der Gruppe schon im März passiert.

Laut dem Bericht von Bleepingcomputer steckt allerdings nicht Unachtsamkeit dahinter – sondern Arglist. Die Hacker-Gruppe könnte die Liste auch absichtlich öffentlich gemacht haben, um Sicherheitsunternehmen auf eine falsche Fährte zu locken. Und Cobalt würde unterdessen die eigentlichen Ziele attackieren.

Kryptoschürfer schlafen nicht mehr

Jeden Tag scheint die Kryptowährung Bitcoin wieder neue Höhen zu erreichen. Der Kurs beflügelt nicht nur die Fantasie vieler Hobby-Devisen-Spekulanten und Blasen-Panik-Verbreiter. Auch in Cyberkriminellen weckt das Versprechen des grossen Geldes die Kreativität.

Einige Websites zapfen derzeit die Rechenleistung ihrer Besucher an, um heimlich nach Kryptowährungen zu schürfen. Das Opfer merkt davon nichts – nur, dass sein Rechner langsam wird. Auch einige legale Websites versuchen so, die fehlenden Werbeeinahmen zu kompensieren. Der Fachbegriff heisst Drive-by Cryptomining.

Der Haken ist allerdings, dass derartige Schürf-Software nur funktioniert, solange das Opfer mit dem Browser auf der entsprechenden Seite verweilt. Geht es weg, bricht der Geldfluss ab. Zumindest war das bis anhin so.

Die Sicherheitsexperten von Malwarebytes fanden eine neue Variante dieser Technik. Dabei öffnet der Browser ein verstecktes Pop-up-Fenster. Dieses versteckt sich komplett hinter der Taskbar. So kann das Schadprogramm heimlich weiter schürfen, auch wenn das Opfer auf eine andere Website wechselt. Bis dem Nutzer auffällt, dass der Browser noch immer läuft, auch wenn er alle sichtbaren Fenster geschlossen hat.

Um nicht entdeckt zu werden, hat die Malware ständig ein Auge auf die CPU-Auslastung. Das Schadprogramm sorgt dafür, dass die generierte Auslastung unter einem Schwellenwert bleibt. Wer also vermutet, dass sein Rechner in letzter Zeit etwas langsamer läuft, sollte vielleicht mal hinter der Taskbar gucken.

Verwirrte Siri schreit um Hilfe

Im deutschsprachigen Raum sorgt ein Bug in Apples virtueller Sprachassistentin Siri für rote Köpfe. Ohne dass der Nutzer dies will, ruft sie nämlich beim Notruf an. Ist der Nutzer nicht schnell genug, den fünfsekündigen Countdown vor dem Anrufsaufbau abzubrechen, muss er wohl rasch eine Erklärung dafür finden, weswegen seine Sprachassistentin um Hilfe schreit.

Das Problem tritt auf, wenn der Nutzer den Sprachbefehl "100 Prozent" ausführt, wie Mactechnews berichtet. Statt zu rechnen, wählt Siri anschliessend die Rufnummer 100. Dabei handelt es sich um die indische Notfallnummer. Das iPhone leitet jedoch automatisch um auf das lokale Pendant, wie etwa 110 in Deutschland. Gelegentlich wird fälschlicherweise berichtet, dass Siri aufgrund dieses Bugs die Nummer 110 wählen würde.

Dasselbe geschieht auch, wenn der Nutzer "50 Prozent" oder "1000 Prozent" sagt. Dann versucht das iPhone die Rufnummer 50 beziehungsweise 1000 zu wählen. Seltsamerweise funktioniert der Bug gemäss Mactechnews nicht bei "20 Prozent" oder "48 Prozent". Betroffen sind die Betriebssysteme iOS 11 und ältere Versionen.

Ob Siri uns mit dem Hilfeschrei etwas sagen will? Oder sind das etwa die ersten Anzeichen von Demenz und Altersgebrechen einer in die Jahre gekommenen virtuellen Assistentin?

Und der etwas andere Blue Screen des Todes

Wenn nichts mehr geht und weisse Lettern auf blauem Hintergrund erscheinen, bedeutet dies in der Regel: kritischer Systemfehler im Windows-Betriebssystem. Oder ein cleverer Fall von Mimikry. Die Malware Troubleshooter macht sich nämlich just diese Optik zunutze, um ihre Opfer in die Falle zu locken.

Troubleshooter tarnt sich als Installationsprogramm für gecrackte Software, wie Malwarebytes mitteilt. Tatsächlich lädt das Schadprogramm aber Dateien herunter, um das Erscheinen eines Blue Screens zu imitieren. Der Text ist dabei an die älteren Versionen der Fehlermeldung angelehnt.

A problem has been detected and Windows has been shut down to prevent damage to your computer

Anschliessend erscheinen weitere Fehlermeldungen, die dem Opfer vorgaukeln, gewisse .dll-Dateien würden fehlen. Nach einem kurzen Fake-Troubleshooting kommt der eigentliche Grund der ganzen Maskerade: Troubleshooter weist das Opfer an, er soll doch eine Software namens Windows Defender Essentials für 25 US-Dollar kaufen. Das Ganze ist also ein sogenannter Support-Scam.

Suspekt: Die Malware macht auch einen Screenshot des Desktops des Opfers. Das Bild schickt Troubleshooter an eine feste IP-Adresse. Warum ist allerdings nicht klar. Auffällig ist auch, dass die Entwickler ihre Opfer auffordern, per Paypal zu zahlen.

Während des ganzen Prozesses kann das Opfer nur wenig machen. Die Malware deaktivierte zuvor sämtliche Hotkeys. Zahlt der Nutzer die 25 Dollar, deaktiviert sich Troubleshooter. Darauf aufbauend ersannen die Sicherheitsexperten von Malwarebytes eine Methode, wie man die Malware auch ohne Zahlung wieder los wird. Wie das geht, schreibt das Unternehmen im Blogeintrag.

Und zum Nachschlagen: das kleine IT-Security-ABC. Über den Direktlink oder den Webcode SecurityABC in das Suchfeld eingeben.

Webcode
DPF8_72166