Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Dennis Schirrmacher 56

Erpressungstrojaner Cerber soll Bitcoins klauen

Erpressungstrojaner Cerber soll Bitcoins klauen

Bild: Santeri Viinamäki, CC BY 2.0

Offenbar ist den Malware-Entwicklern von Cerber das Lösegeld nicht genug: Der Verschlüsselungstrojaner soll sich nun auch Bitcoin-Wallets und Passwörter unter den Nagel reißen.

Der Erpressungstrojaner Cerber ist in einer aktualisierten Variante aufgetaucht, die neue Schadfunktionen mitbringt. Sicherheitsforscher von Trend Micro warnen in einem Blogeintrag, dass Cerber jetzt nicht nur Daten verschlüsselt und ein Lösegeld fordert, sondern es auch auf Bitcoin-Wallets und in Webbrowsern gespeicherte Passwörter abgesehen hat.

Prominenter Trojaner

Das ist mittlerweile die siebte Version des Schädlings, der seit 2016 immer wieder sein Unwesen treibt. Derzeit deutet aber nichts auf eine Verbreitungswelle hin. Die letzte große Kampagne lief im Mai dieses Jahres vorwiegend in den USA. Einem Bericht zufolge machte Cerber in der Vergangenheit 90 Prozent aller Ransomware-Infektionen aus.

Wie fast alle Verschlüsselungstrojaner soll auch die neue Cerber-Variante als Dateianhang von betrügerischen Mails auf Windows-Computer kommen. Für eine erfolgreiche Infektion muss ein Opfer aber auf die Mail hereinfallen und den JavaScript-Anhang öffnen. Erst dann installiert sich der Schädling und beginnt sein Schadenswerk.

Weitere Wege zur Monetarisierung

Vor der Verschlüsselung soll Cerber die Bitcoin-Wallets Bitcoin Core, Electrum und Multibit suchen. Ist das erfolgreich, sollen die Wallets auf den Servern der Drahtzieher landen und vom infizierten Computer gelöscht werden, erläutert Trend Micro. Das bringt den Erpressern aber noch kein Geld ein, schließlich benötigen sie noch die Passwörter, um die Wallets öffnen zu können. Ganz durchdacht wirkt das Ganze nicht. Zumal Electrum seit 2013 auf eine neuere Wallet-Datei als die von Cerber geklaute setzt.

Darüber hinaus soll der Erpressungstrojaner Passwörter aus den Browsern Chrome, Internet Explorer und Firefox abziehen. Wie das im Detail funktioniert, führen die Sicherheitsforscher derzeit nicht aus.

Ganz neu sind erweiterte Schadfunktionen von Verschlüsselungstrojanern nicht: Bereits im Sommer 2016 untersuchte heise Security im zweiteiligen Hintergrundartikel "Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony" einen ähnlichen Ansatz.

[UPDATE, 06.08.2017 13:00 Uhr]

Auflistung der Bitcoin-Wallets im Fließtext korrigiert. (des)

56 Kommentare

Themen:

Anzeige
  1. Malwarebytes-Bericht: Erpressungstrojaner jetzt mehr als zwei Drittel aller Malware

    Malwarebytes-Bericht: Erpressungstrojaner jetzt mehr als zwei Drittel aller Malware

    Angreifer im Netz verlegen sich zunehmend auf Ransomware und auch Mac-Malware wird häufiger – das ist die Bilanz des aktuellen Malwarebytes-Berichtes zu den aktuellen Taktiken und Techniken von Cyberkriminellen.

  2. Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr

    Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr

    Sicherheitsforscher warnen vor einer neuen Version der Ransomware, die nun unter anderem auch bestimmte laufende Prozesse beenden kann, um so Datenbanken in ihre Fänge zu bekommen.

  3. Erpressungstrojaner Jaff: Vorsicht vor Mails mit PDF-Anhang

    Erpressungstrojaner Jaff: Vorsicht vor Mails mit PDF-Anhang

    Derzeit landen vermehrt E-Mails mit einem manipulierten PDF-Dokument in Posteingängen. Wer das Dokument unter Windows öffnet, kann sich die Ransomware Jaff einfangen. Diese verschlüsselt Daten und versieht sie mit der Dateiendung .wlu.

  4. Ransomware Nuclear BTCWare soll sich über Remote Desktop Services einschleichen

    Ransomware Nuclear BTCWare soll sich über Remote Desktop Services einschleichen

    Sicherheitsforscher sind auf einen Erpressungstrojaner gestoßen, der Windows-Computer nicht wie bisher gewohnt via Mailanhang infiziert.

  1. Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony, Teil II

    Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Wie diese Analysiert:-Folge enthüllt, weist die scheinbar perfekte Verschlüsselung des RAA-Trojaners doch Lücken auf. Auch der von RAA gestartete Passwort-Dieb kann sich mit seinen Anti-Debugging-Tricks der Analyse nicht entziehen.

  2. Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Im Rahmen unserer Analysiert:-Serie geht es diesmal einem Erpressungs-Trojaner an den Code: Olivia von Westernhagen untersucht den in JavaScript realisierten RAA-Trojaner, der gleich auch noch eine Passwort-Klau-Malware im Gepäck hat.

  3. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. Vodafone schaltet UMTS-Femtozellen ab

    SIM Karte

    Vodafone kündigt Verträge für UMTS-Femtozellen, die in Gebäuden für eine bessere Mobilfunkanbindung sorgen.

Anzeige