Nachrichtenagentur: Nordkoreanische Webseite bietet Malware zum Download

Wer die Webseite der staatlichen nordkoreanischen Nachrichtenagentur besucht, könnte sich ganz offiziell einen Trojaner einfangen.

Artikel veröffentlicht am ,
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur (Bild: InfoSecOtter)

Neben Fotos von Kim Jung Un beim Besuch in nordkoreanischen Betrieben erhalten Besucher der Webseite der offiziellen Nachrichtenagentur Korean Central News Agency (KCNA) (sicherheitshalber hier nur der Link zum Wikipedia-Eintrag) des abgeschotteten Landes unter Umständen auch einen Trojaner. Das legt zumindest der Quellcode der Webseite nahe, die der IT-Sicherheitsforscher mit dem Beinamen InfoSecOtter analysiert hat. Aktuell ist die Webseite nur schwer erreichbar und funktioniert mit eingeschaltetem Noscript ohnehin nicht.

Stellenmarkt
  1. Frontend Developer (m/w/d)
    nexible GmbH, Düsseldorf
  2. Sachbearbeiter Datenmanagement Netz (m/w/d)
    WEMAG Netz GmbH, Schwerin
Detailsuche

Im Stammverzeichnis der Webseite entdeckte InfoSecOtter die Datei mit dem vielsagenden Namen kcna.user.exploit.exploit.kcmsf. Dort gibt es eine Javascript-Variable mit dem Hinweis auf die Datei FlashPlayer10.zip, die ebenfalls in einem Downloadverzeichnis auf dem Webserver abgelegt ist. InfoSecOtter hat sie heruntergeladen und die beiden dort enthaltenen Dateien ActiveX.exe und Plugin.exe bei Virustotal analysieren lassen. Sie seien identisch und enthielten Windows-Trojaner. Die Entwickler der Malware haben den ursprünglichen Installer von Adobe auch so manipuliert, dass er mit Administratorrechten startet, statt wie üblich im Kontext des Benutzers.

Ehrlichkeit oder Übersetzungsfehler?

Die Dateien wurden in etwa zur gleichen Zeit erstellt wie die aktuelle Webseite selbst. Die meisten Dateien dort tragen einen Zeitstempel vom Dezember 2012. Der dort dynamisch generierte Code wird mit Hilfe von Skripten ausgeführt, die in dem Ordner siteFiles/exploit liegen. Der Name könnte möglicherweise aber nicht ein ehrlicher Hinweis der nordkoreanischen Programmierer der Webseite sein, sondern schlicht ein Übersetzungsfehler, resümiert InfoSecOtter. Denn das koreanische Verb gaebalhada (개발하다) lässt sich sowohl mit "to develop" als auch mit "to exploit" ins Englische übersetzen.

Es gibt in den standardmäßig aufgerufenen Webseiten jedoch keinen Code, der den Download der Malware auslösen könnte. Auch der Code, mit dem PDFs aus dem Archiv der staatlichen Nachrichtenagentur über die Webseite heruntergeladen werden können, sei sauber, schreibt der Sicherheitsexperte. Er weist aber darauf hin, dass die Javascript-Variable von dynamisch generierten Ajax- oder JQuery-Code genutzt werden könnte, etwa, wenn Benutzer die Webseite mit einem entsprechenden Browser oder Unterseiten mit bestimmten Informationen aufrufen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

InfoSecOtter will die Webseite weiter beobachten und vor allem herausfinden, was die Malware auf einem infizierten Rechner anstellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple
Macbook-Nutzer berichten über gesprungene Displays

Zahlreiche Besitzer von Macbooks mit M1-Chip berichten über plötzlich gesprungene Displays - Apple geht von Fremdverschulden aus.

Apple: Macbook-Nutzer berichten über gesprungene Displays
Artikel
  1. Gesetz tritt in Kraft: Die Uploadfilter sind da
    Gesetz tritt in Kraft
    Die Uploadfilter sind da

    Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
    Ein Bericht von Friedhelm Greis

  2. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  3. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

User_x 15. Jan 2015

wenn die dateien bei der prüfung 100%ig übereinstimmen, sind die doch dann einfach nur...

Bouncy 14. Jan 2015

In NK ist angeblich WinXP am verbreitetsten, das fragt nicht nach Adminrechten und führt...

Eckstein 14. Jan 2015

Darauf wartet er doch nur, damit er sie alle wegpwnen kann! ;-) http://40.media.tumblr...

Klitzklotsch 14. Jan 2015

Nö. Dateigröße ist anders, Hash demnach auch. https://www.virustotal.com/de/file...

nicoledos 14. Jan 2015

Koennten auch andere Dienste gewesen sein. Ein westlicher Dienst verteilt einen...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /