Anti-Hacking-Service von McAfee verteilt Banking-Malware

Ein Link des Sicherheitsdiensts McAfee ClickProtect führte offenbar zu einer Website mit einem schädlichen Word-Dokument. Es enthält ein Makro, das wiederum den Banking-Trojaner Emotet einschleust. McAfee zufolge wird der Zugriff auf die fragliche Domain seit 13. November gesperrt.

Ein in der französischen Hauptstadt Paris ansässiger Sicherheitsforscher, der sich selbst Benkow nennt, ist auf ein schädliches Word-Dokument gestoßen, das ihm über eine von McAfee gehostete Domain angeboten wurde. Die URL cp.mcafee.com gehört zum McAfee-Dienst ClickProtect, den das Unternehmen mit der Aussage „schützen Sie Ihr Unternehmen vor Hacking“ bewirbt.

(Bild: McAfee)ClickProtect ist ein Dienst, mit dem sich Nutzer vor Phishing-Angriffen und Malware-Links in E-Mails schützen sollen. Er soll auch verhindern, dass Nutzer gefährliche Websites besuchen. Zwar befand sich die fragliche Malware an sich auf einer Website eines Drittanbieters, dorthin gelangten Nutzer jedoch über die McAfee-Domain.

Ein McAfee-Sprecher erklärte, man untersuche den Vorfall. Der ClickProtect-Dienst arbeite jedoch wie vorgesehen. „In den frühen Stunden des 13. November war das fragliche Ziel noch nicht als Quelle einer Malware identifiziert worden. Im Lauf des Tages identifizierte McAfees Global Threat Intelligence Service die Website tatsächlich als Bedrohung und änderte ihren Bedrohungsstatus von ‚gering‘ zu ‚hoch'“. Danach seien McAfee-Kunden nicht mehr in der Lage gewesen, die Seite aufzurufen.

Untersuchungen von ZDNet USA zufolge war die Seite jedoch kurz nach dem Zeitpunkt, zu dem sie laut McAfee bereits blockiert wurde, noch erreichbar. Unklar ist demnach auch, warum McAfee die Seite zwar einerseits irgendwann als gefährlich einstufte, andererseits aber noch den Download der Malware erlaubte. Mit den Widersprüchen konfrontiert ergänzte der Sprecher, der genaue zeitliche Ablauf sei noch nicht geklärt.

Bei der Malware, die über das schädliche Word-Dokument verteilt wurde, handelt es sich um den Banking-Trojaner Emotet. Auf dessen Gefährlichkeit wies Microsoft in der vergangenen Woche hin. Neue Varianten des Banking-Trojaners verfügen nämlich über Funktionen der Ransomware WannaCry: Sie können sich über eine von Microsoft bereits gepatchte Lücke im SMB-Protokoll in Unternehmensnetzwerken verbreiten.

Das Word-Dokument wieder nutzte eine bekannte Masche, um die Ausführung der Schadsoftware zu erreichen. Statt angeblich dringend benötigter Informationen, beispielsweise über eine erwartete Lieferung, erscheint nach dem Öffnen des Dokuments nur ein Sicherheitshinweis, wonach die Ausführung von Makros aktiviert werden muss, um die Inhalte anzuzeigen. Diese seien nicht zugänglich, weil das Dokument mit einer alten Version von Microsoft Office erstellt worden sei. Fällt ein Opfer auf diesen Trick herein, installiert er Emotet.

HIGHLIGHT

Tuning: Warum eine SSD so viel für die Performance bringt

In einem Computersystem gibt es verschiedene Komponenten mit unterschiedlicher Leistungskraft. Die Gesamtleistung wird häufig durch das schwächste Glied in der Kette gebremst. Mit einer SSD lässt sich dieses Ungleichgewicht ausgleichen und damit die Performance erheblich verbessern.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, McAfee, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Anti-Hacking-Service von McAfee verteilt Banking-Malware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *