Neue Details zur Scareware "Trapwot"
Neue Details zu Trapwot von Palo Alto Networks – Scareware erreicht im April bisherigen Höchststand
München, den 13. Mai 2015 –Unit 42, die Forschungsabteilung von Palo Alto Networks, hat in den letzten Wochen eine neue E-Mail-Kampagne der Malware-Familie Trapwot beobachtet. Diese Malware-Familie ist als „Scareware“ oder „Rogue Antivirus“ klassifiziert. Trapwot führt seine Opfer in die Irre, indem diese glauben sollen, ihr PC sei mit Malware infiziert worden. Die Scareware tarnt sich als Antivirus-Produkt und versucht Benutzer zum Kauf zu verleiten. Das vermeintliche Antivirus-Produkt bietet aber keinerlei Schutzwirkung. Die Angreifer hinter Trapwot verbreiten die Scareware weltweit im großen Stil per E-Mail, wahrscheinlich durch ein Spam-Botnet.
Der Bedrohungserkennungsdienst AutoFocus von Palo Alto Networks hat in den letzten 30 Tagen 380.000 E-Mails identifiziert, die Trapwot in sich tragen. Diese 380.000 E-Mails enthielten über 5.400 einzigartige Malware-Samples. Die Angriffe richteten sich in erster Linie gezielt gegen Versicherungen, Hochschulen und die Healthcare-Industrie. 120.000 davon waren an die Versicherungsbranche adressiert, wobei bis auf 1.600 E-Mails davon alle an ein Unternehmen gerichtet waren. 93.000 E-Mails entfielen auf Hochschulen und 31.000 E-Mails mit Trapwot waren an Unternehmen aus der Healthcare-Industrie adressiert. Was die geografische Verteilung betrifft, wurde die Malware in erster Linie in den Vereinigten Staaten beobachtet, wobei vor allem die hohe Anzahl an Samples, die sich gegen ein Versicherungsunternehmen richteten, dafür verantwortlich ist. Die Malware wird aber weltweit, auch in vielen europäischen Ländern, verbreitet.
„Trapwot ist nur eine von vielen Varianten von Rogue-Antivirus-Programmen, die derzeit E-Mail-Nutzer plagen. Diese sollten skeptisch sein gegenüber Pop-ups, die mitteilen, ihr System sei mit Malware infiziert ist und sie bitten, ein neues Produkt zu kaufen. Wie immer sollten Benutzer auch keine Anhänge öffnen in E-Mails, die sie nicht erwarten, egal wie verlockend der Inhalt sein mag“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Öffnet ein ahnungsloser Benutzer eine der beigefügten ausführbaren Dateien, würde die Malware eine Remote-Datei auf den Rechner des Opfers herunterzuladen, um das Programm dann auszuführen.“
Neben dem Versuch, das Opfer zum Kauf eines gefälschten Virenscanners zu verleiten, kann die Malware auch den Zugriff auf legitime Websites und/oder speziell Websites von Antivirus-Herstellern blockieren. Bei dieser Kampagne kamen ausführbare Dateien mit dem Dateinamen-Suffix „.scr“ zum Einsatz. Die Dateinamen vor dem Suffix variieren.
Die AutoFocus-Plattform von Palo Alto Networks ermöglichte es Unit 42, diese große Scareware-Kampagne mit Hunderttausenden von E-Mails zu identifizieren und zu verfolgen. Insgesamt ist Trapwot keine besonders neue Malware-Familie, da ihre Ursprünge auf Anfang November 2014 zurückgehen. Die Malware ist auf jeden Fall gefährlich, da sie die Leistung und Funktionalität eines infizierten Rechners beeinträchtigt.
