Vorsicht vor gefälschten Antiviren-Webseiten

So schützen Sie sich vor Malware

Auf der Suche nach Antivirenprogrammen könnten Suchende leicht auf gefälschte Webseiten stoßen, die statt der gewünschten Schutzsoftware Schadprogramme verbreiten. Die Antivirenspezialisten von Trellix, ehemals die Business-Sparte von McAfee, haben vor solchen betrügerischen Webseiten gewarnt. 

Diese Seiten imitieren die Original-Webseiten bekannter Antiviren-Anbieter und liefern anstatt der Sicherheitssoftware Malware aus.

Gefälschte Webseiten verbreiten Malware

Mitte April entdeckten Mitglieder des Advanced Research Center von Trellix mehrere gefälschte Antivirus-Webseiten. Diese Seiten waren so gestaltet, dass sie den Original-Webseiten der Antiviren-Anbieter täuschend ähnlich sehen. Sie boten jedoch bösartige Dateien als .apk, .exe oder Installer an, die mit dem Inno-Setup-System erstellt wurden. Diese Dateien waren darauf ausgelegt, Spionage und Diebstahl zu betreiben, und zielten auf Endanwender ab, die Schutz für ihre Geräte suchten.

Beispiele gefälschter Webseiten

Die gefälschten Webseiten kopieren nicht nur das Erscheinungsbild der Original-Webseiten, sondern verwenden auch Dateinamen, die zu den gefälschten Unternehmen passen. Beispiele sind:

  • avast-securedownload[.]com: Hier wurde eine Datei namens Avast.apk bereitgestellt.
  • bitdefender-app[.]com: Diese Seite bot eine Datei namens setup-win-x86-x64.exe.zip an.
  • malwarebytes[.]pro: Diese Seite lieferte eine Datei namens MBSetup.rar aus.

Auch eine gefälschte Trellix-Binärdatei mit dem Namen AMCoreDat.exe wurde über ähnliche Webseiten verteilt.

Funktionen der Malware

Die von Trellix analysierte APK-Datei, die den Namen Avast trug, hatte die Fähigkeit, nach der Installation auf einem Smartphone Pakete zu installieren und zu löschen. Sie konnte Anrufprotokolle, SMS, gespeicherte Daten und den Telefonstatus lesen, auf den Netzwerk- und WLAN-Status zugreifen und diesen ändern sowie Tonaufnahmen machen. Zudem konnte sie Screenshots aufnehmen und enthielt einen Krypto-Miner sowie einen Ortungstracker.

Die vermeintliche Bitdefender-Datei enthielt den fortschrittlichen Lumma-Stealer, der sich in die BitLockerToGo.exe des Systems injizierte und Informationen exfiltrierte. Die Schadsoftware auf der gefälschten Malwarebytes-Seite enthielt die StealC-Malware, die ebenfalls Informationen stahl, einschließlich Zugangsdaten und Steam-Tokens. Die gefälschte Trellix-Software sammelte Informationen über den PC, darunter Name, Nutzernamen, Speicher, laufende Prozesse, Log-in-Daten, Browser- und Browserverlauf, Cookies und Tokens, und leitete diese an einen Command-and-Control-Server weiter.

Schutz vor gefälschten Antiviren-Webseiten

Um sich vor solchen Gefahren zu schützen, sollten Nutzer beim Herunterladen von Software immer die offiziellen Webseiten der Anbieter nutzen und darauf achten, dass die URL korrekt ist. Verdächtige Seiten sollten gemeldet und nicht besucht werden.

IT Consulting Cologne unterstützt Sie gerne bei der Implementierung von Sicherheitslösungen und bietet umfassende Beratung, um Ihr Unternehmen vor Cyberbedrohungen zu schützen. Vereinbaren Sie noch heute ein kostenloses Erstgespräch mit uns, um Ihre Sicherheitsstrategie zu optimieren und sich vor Malware-Angriffen zu schützen.


Administrator 24. Mai 2024
Diesen Beitrag teilen
Stichwörter
Archiv