Klickfalle zum Unglücksflug MH17

Im Grunde war es ja abzusehen, dass irgendwann die üblichen Trittbrettfahrer wieder aufspringen, und der Ansicht sind, mit dem Tod und dem Leid anderer Menschen Geld verdienen zu müssen.

Und so ist es auch geschehen. Zum Absturz der Passagiermaschine der Malaysia Airlines über der Ukraine hat sich schnell eine Klickfalle mit Adware gefunden.

Man braucht nicht weit schauen, da schimmert dieser Eintrag in dem Newsfeed  vieler Facebooknutzer.

[ACTUAL FOOTAGE] Missile Fired from Pro-Russian Militants to Malaysian Airliner MH-17 [SCAM ON FACEBOOK]

Mit einem Klick auf diese Statusmeldung gelangt man – richtig! – nicht zu einem Video, sondern auf eine Seite, welche Facebook nachempfunden ist, und den erfahrenen ZDDKlern einen vertrauten Anblick liefert.

Ja, dieses Muster ist mittlerweile mehr als bekannt. So kennen wir es von hier, von hier, aber auch von hier. Man hat es auch hier und hier gesehen. Ja sogar hier. Man könnte sogar noch mehr Fakeseiten aufführen, die so aufgebaut sind/waren, aber es sollte jeder begriffen haben.

Statt dessen soll man es an der eigenen Pinnwand teilen. Da freut sich natürlich der Ersteller, wenn der Unfug freiwillig durch Facebook getragen wird. Netter Nebeneffekt: man sieht gleichzeitig, wer auf diese Masche hereingefallen ist.

Und auch in diesem Fall gibt es kein Video zu sehen. Auch wenn man diese Meldung noch so viel teilt, man wird kein Video sehen. Man wird lediglich auf eine Seite weitergeleitet, die mal direkt eine Warnmeldung von sich gibt:

Die Codecs des eigenen Players sind veraltet!

Man glaubt es kaum, diese Meldung ist ja schon fast 90s, aber hier wird tatsächlich suggeriert, die Leistung per irgendwelcher Codecs steigern zu können.

Bis hier ist noch nicht viel passiert, selbst wenn man jetzt auf OK klickt, ist akut noch kein Schaden wiederfahren (außer dem peinlichen Post auf der eigenen Pinnwand). Der unangenehmere Part kommt jedoch nun:

Eine Seite mit Adware

Man soll ein Codec-Performer Update ausführen. Die Seite, welche im Adobe-Stil aufgebaut ist, beschreibt dem Leser auch ganz toll, was so ein Codec kann – natürlich um den Nutzer zu verführen.
Ach ja – verführen – da war doch was: sollte es hier nicht ein Video geben? Mittlerweile steck man so im Klickdschungel, dass diese Video, zumindest die Gelüste, es zu sehen, völlig in den Hintergrund getreten sind.

Im Grunde ist man hier in einer Sackgasse gelandet, und spätestens hier sollte jeder Besucher die Seite verlassen. Denn was nun noch machbar ist, ist lediglich der Download und die Installation einer Malwareschleuder, welche sich als Codec-Performer ausgibt.

Mal genauer geschaut: CodecPerformerSetup.exe

Nun wollen wir das Ganze auch zu Ende führen. Diese “CodecPerformerSetup.exe”, wo sie ja schon mal auf der Festplatte gelandet ist, kann man ja mal betrachten lassen. Angefangen mit Virustotal:

Es war zu erwarten, dass dieses Programm nicht völlig unbekannt ist. Auf Malwr.com gab es noch weitere Ergebnisse, die auf das unfreundliche Verhalten dieses Setups hinweisen.

Signatures

Starts servers listening on 127.0.0.1:0, 0.0.0.0:0

Performs some HTTP requests

The binary likely contains encrypted or compressed data.

Steals private information from local Internet browsers

Operates on local firewall’s policies and settings

Creates an Alternate Data Stream (ADS)

Installs itself for autorun at Windows startup

Das komplette Protokoll kann man hier einsehen:
Malwr.com

Genug analysiert

Im Grunde ist es immer wieder traurig, dass schwere Unglücksfälle dafür herhalten müssen, zum einen die betrügerische Profitgier, zum anderen auch die schaulustige Sensationsgier befriedigen zu müssen. Anhand des absolut sich wiederholenden Videomusters (wie weiter oben erwähnt), sollten viele Internetnutzer bereits gewarnt sein. Es scheint jedoch noch nicht so zu sein, denn sonst würden sich diese Statusbeiträge ja nicht weiter verteilen.
Wahrscheinlich lesen doch noch zu wenige Menschen bei ZDDK/Mimikama.at

 

Autor: Andre, mimikama.org