Eine chinesische Hackergruppe, die als StormBamboo bekannt ist, hat einen nicht näher genannten Internet-Provider gekapert und deren DNS-Server manipuliert. Dadurch luden Kunden des Providers Malware statt Updates herunter und installierten diese.

China-Hacker nutzen Provider, um Malware zu verteilen

Die Hacker zielten bei der Aktion auf Software mit unsicheren Update-Verfahren. Also beispielsweise wenn der Hersteller die heruntergeladenen Updates nicht noch einmal vor der Installation prüft, ob es wirklich die Update-Dateien sind. Die URLs zum Download solcher Updates tauschten die Hacker beim Provider gegen Malware-Links aus. Die Programme luden damit automatisch die Malware herunter und starteten sie. Ein Beispiel ist der 5KPlayer, der bei jedem Start nach neuen YouTube-Definition vom Hersteller sucht und diese herunterlädt. Durch die DNS-Manipulation lud das Programm stattdessen Malware herunter. Die wiederum lud nach Angaben der Sicherheitsforscher von Volexity PNG-Dateien mit Malware nach und infizierte Macs mit Macma und Windows-PCs mit Pocostick, beides Hintertüren, die den Angreifern erlaubten, die PCs zu kontrollieren. Die Gefahr ist mittlerweile gebannt. Der Provider hat seine Systeme bereinigt oder ausgetauscht. Als Nutzerin oder Nutzer schützen Sie sich vor solchen Angriffen am besten mit einem Antivirenprogramm. Das prüft alle Downloads auf Schadsoftware und entdeckt sie auch, wenn sie sich als Software-Update tarnt.

Categories: Uncategorized

Call Now Button