Jena, 28. März 2018 – Anwender sollten Programme nur von vertrauenswürdigen Anbietern herunterladen – das ist einer der Standard-Tipps für mehr Sicherheit. Doch nicht immer schützt dies vor Schadprogrammen, wie ESET-Forscher jetzt nachgewiesen haben. Sie entdeckten gleich drei mit Trojanern verseuchte Anwendungen auf der Seite download.cnet.com. Diese zählt zu den beliebtesten und bekanntesten internationalen Download-Portalen.
Den entscheidenden Hinweis gab ein aufmerksamer Nutzer. Als er seine persönliche Adresse für die Kryptowährung Monero in eine Anwendung hineinkopieren wollte, erschien dort plötzlich eine Fehlermeldung. Bei genauerem Hinsehen bemerkte er, dass eine unbekannte Bitcoin-Adresse hineinkopiert wurde. Des Rätsels Lösung: Ein Trojaner hatte beim Kopiervorgang in der Zwischenablage die persönliche Monero-Adresse mit einer fest programmierten Bitcoin-Adresse ausgetauscht, die den Hackern gehörte. Hätte die genutzte Anwendung keinen Fehler entdeckt, wäre das Geld wohl an die Kriminellen geflossen. Genau dies ist vielen anderen Nutzern passiert. So sammelten die Malware-Entwickler bis 13. März 2018 bereits 8,8 BTC ein – umgerechnet etwa 80.000 US-Dollar.
Die ESET-Experten ermittelten als Quelle des Trojaners die Anwendung Win32 Disk Imager. Sie wurde seit Mai 2016 auf cnet.com angeboten und mehr als 4.500 Mal heruntergeladen. ESET Antivirenprogramme erkennen den Trojaner als Variante von MSIL/TrojanDropper.Agent.DQJ. So fanden die Experten heraus, dass noch zwei weitere Anwendungen auf der Download-Seite damit verseucht waren: CodeBlocks und MinGW-w64. Inzwischen hat CNET alle betroffenen Programme von seiner Webseite gelöscht.
Eine Analyse der Bitcoin stehlenden Malware sowie Maßnahmen zur Entfernung des Trojaners auf kompromittierten Systemen gibt es in diesem Blog-Beitrag.