Dridex-Botnet: Hacker verteilen Virenscanner statt Malware

Das Dridex-Botnetz scheint wieder aktiv zu sein. Im vergangenen Oktober hatten FBI-Mitarbeiter zahlreiche Server beschlagnahmt und das Netzwerk so vorübergehend heruntergefahren. Doch eine aktuelle Kampagne verwundert: Statt Malware verteilt das Botnetz zurzeit offenbar legitime Kopien des kostenlosen Antivirenprogramms von Avira, wie das Unternehmen selbst mitteilt.

Das Dridex-Botnet hat in den vergangenen Jahren vor allem Banking-Trojaner über infizierte Word-Dokumente verteilt. Zu den betroffenen Banken sollen auch die Berliner Bank, die Deutsche Bank, die Spardabank und verschiedene Institute der Sparkassengruppe gehören.

Gründe sind noch unklar

Warum das Botnet statt Malware eine Antivirensoftware verteilt, ist nicht ganz klar. Avira selbst vermutet, dass ein White-Hat-Hacker die Botnetz-Betreiber ärgern wolle und daher Teile des Botnetzes übernommen habe. "Es gibt die Möglichkeit, dass ein White-Hat-Hacker infizierte Web-Server übernommen hat und dabei die gleichen Schwachstellen wie die ursprünglichen Malware-Autoren nutzte - und dann die bösartige Software mit dem Avira-Installer ausgetauscht hat", sagte Moritz Kroll von Avira.

Eine andere, weniger realistische Theorie ist, dass damit die Algorithmen der verschiedenen Antivirenhersteller verwirrt werden sollen. Das ist unwahrscheinlich, weil die verteilten Installer nach Angaben von Avira tatsächlich legitime Kopien der Software sind, sie seien ordnungsgemäß signiert, heißt es in dem Statement des Unternehmens. Damit scheidet eine besonders perfide Methode zur Verteilung von Malware aus.

Auch wenn viele Webanwender im Umgang mit unbekannten E-Mail-Anhängen mittlerweile vorsichtiger geworden sind: Der wirtschaftliche Schaden durch solche und ähnliche Schadsoftware ist enorm - und lohnenswert für die Angreifer. Die Schäden allein durch Dridex werden im zweistelligen Millionenbereich geschätzt.