von Robert Klatt •
Die Malware Fauxpersky ist technisch simpel und trotzdem effektiv. Sie setzt auf das Tool AutoHotKey und nutzt Google Forms.
Sicherheitsexperten des Unternehmens Cybereason haben eine neue Malware gefunden, die entwickelt wurde um Passwörter und andere Eingaben zu stehlen und anschließend an die Hintermänner zu übermitteln. Cybereason berichtete, dass die Malware technisch überraschend simpel und dabei trotzdem sehr erfolgreich ist.
In Anspielung auf den russischen Antiviren-Hersteller Kaspersky hat Cybereason der Malware den Namen „Fauxpersky“ gegeben. Die technische Basis der Fauxpersky-Malware ist die beliebte Software AutoHotKey, die eigentlich genutzt wird um kleine Skripte zur Automatisierung alltäglicher Routineaufgabe zu erstellen. Fauxpersky missbraucht AutoHotKey hingegen um die Funktionen als Keylogger einzusetzen und um sich auf infizierten Windows-PCs selbstständig auf der Festplatte weiterzuverbreiten.
Im Cybereason-Firmenblog erklärten die Sicherheitsexperten Amit Serper und Chris Black, dass ihr ausführliche Analyse der Malware ergab, dass „Fauxpersky keinesfalls besonders fortschrittlich oder gar stealthy ist.“ Obwohl die Malware im Vergleich zu anderen Alternativen mit ähnlichen Funktionen sehr einfach ist, ist sie dennoch sehr effizient beim infizieren von USB-Laufwerken. Die aufgezeichneten Passwörter versendet die Malware über Google an das Postfach der Betreiber.
Nachdem die Malware einen Computer erfolgreich infiziert hat, werden sämtliche Eingaben in einer Textdatei gespeichert. Damit die Angreifer die gesammelten Eingaben besser auswerten können werden auch Metadaten erhoben. Die Malware speichert neben den Eingaben auch den Namen des Fensters in der die Eingabe stattfand, um den Hintermännern einen besseren Überblick über die Daten zu geben. Die Kontextinformationen werden dann über Google Forms gefiltert. Anschließend löscht die Malware die Textdatei mit den gespeicherten Eingaben und Metadaten selbstständig vom Computer ihrer Opfer.
Google hat inzwischen auf Fauxpersky reagiert und das bösartige Formular gelöscht. Weitere Details hat der Suchmaschinenkonzern jedoch nicht veröffentlicht und es ist daher noch nicht bekannt wer das Formular angelegt hat. Google erklärte aber auch, dass die Nutzung von Google Forms durch die Malware kaum getarnt war. Sowohl Cybereason als auch Google kamen zu dem Schluss, dass der Ersteller kaum Aufwand betrieben hat um die Malware wie eine legitime Software erscheinen zu lassen.
Aus noch unbekannten Gründen hat der Entwickler in Fauxpersky einen Kaspersky-Splash-Screen integriert, der auch für die Namensgebung verantwortlich ist. Schätzungen über die mögliche Verbreitung von Fauxpersky gibt es bisher von Cybereason noch nicht.