Hacker verwenden gefälschte Windows 10-Updates, um Cyborg-Ransomware zu installieren

Windows-Nutzer, aufgepasst! Eine gefälschte E-Mail, die angeblich von Microsoft stammt und über ein Windows-Update informiert, wird verwendet, um Geräte mit Ransomware zu infizieren.

Sicherheitsforscher von Trustwave’s SpiderLabs, die die bösartige E-Mail-Kampagne entdeckten, fanden heraus, dass die gefälschten E-Mails die Menschen dazu drängen, ein „kritisches Update“ für Windows 10 auf ihren Computern zu installieren.

Der Betreff der E-Mail lautet „Installieren Sie jetzt das neueste Microsoft-Update!“ oder „Kritisches Microsoft Windows-Update!“ Die Nachricht in der E-Mail enthält nur eine einzige Zeile, die besagt: „Bitte installieren Sie das neueste kritische Update von Microsoft, das an diese E-Mail angehängt ist“ und eine angehängte Datei.

Interessanterweise ist die angehängte „Update“-Datei als .jpg-Datei getarnt, die kein Bild, sondern tatsächlich ein ausführbarer .NET-Downloader ist. Dieser lud wiederum eine zweite ausführbare Datei herunter, die auf dem Microsoft-eigenen GitHub gehostet wurde.

„Die Datei bitcoingenerator.exe wird von misterbtc2020 heruntergeladen, einem GitHub-Konto, das während unserer Untersuchung einige Tage aktiv war, aber jetzt entfernt wurde“, sagte Diana Lopera von Trustwave in einem Blogbeitrag.

„Es ist unter dem btcgenerator-Repository enthalten. Genau wie der Anhang handelt es sich hierbei um .NET-kompilierte Malware, die Cyborg-Ransomware.“

Die typische bitcoin-fordernde Cyborg-Ransomware verschlüsselt dann alle Dateien auf dem Computer des Opfers, sperrt deren Inhalte und benennt außerdem alle Dateien in eine .777-Erweiterung um. Darüber hinaus wird eine Lösegeldnotiz mit dem Titel „Cyborg_DECRYPT.txt“ auf dem Desktop des Opfers platziert, in der 500 US-Dollar in Bitcoin verlangt werden, um die Systemdateien zu entsperren.

Als die Forscher nach dem ursprünglichen Dateinamen der Ransomware suchten, erhielten sie ihn und suchten ihn in VirusTotal. Sie fanden drei weitere Proben und entdeckten, dass ein Builder für die Ransomware online existiert. Darüber hinaus entdeckten sie, dass die Cyborg-Ransomware durch ein YouTube-Video beworben wird, das auf den Builder verlinkt, der auf GitHub gehostet wurde.

„Das GitHub-Konto Cyborg-Ransomware wurde ebenfalls neu erstellt. Es enthält zwei Repositories: Cyborg-Builder-Ransomware und Cyborg-Russian-version“, schrieb Lopera.

„Das erste Repository enthält die Binärdateien des Ransomware-Builders, während das zweite einen Link zur russischen Version des Builders enthält, die auf einer anderen Website gehostet wird.“

Lopera erklärte, warum die Cyborg-Ransomware eine echte Gefahr für Unternehmen und Einzelpersonen darstellt, indem sie sagte: „Die Cyborg-Ransomware kann von jedem erstellt und verbreitet werden, der den Builder in die Hände bekommt. Sie kann mit anderen Themen gespammt und in verschiedenen Formen angehängt werden, um E-Mail-Gateways zu umgehen. Angreifer können diese Ransomware so gestalten, dass sie eine bekannte Ransomware-Dateierweiterung verwendet, um den infizierten Benutzer von der Identität dieser Ransomware abzulenken.“

Obwohl das zugehörige GitHub-Konto inzwischen entfernt wurde, ist es wichtig, dass Windows-Nutzer sich daran erinnern, dass Microsoft niemals Patches für seine Betriebssysteme per E-Mail versendet.

Darüber hinaus wird empfohlen, dass Benutzer, die ähnliche E-Mails erhalten, diese sofort löschen. Es ist auch ratsam, keine E-Mail-Anhänge oder Links von unbekannten oder nicht vertrauenswürdigen Quellen zu öffnen.