Abo
  • Services:

Nachrichtenagentur: Nordkoreanische Webseite bietet Malware zum Download

Wer die Webseite der staatlichen nordkoreanischen Nachrichtenagentur besucht, könnte sich ganz offiziell einen Trojaner einfangen.

Artikel veröffentlicht am ,
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur (Bild: InfoSecOtter)

Neben Fotos von Kim Jung Un beim Besuch in nordkoreanischen Betrieben erhalten Besucher der Webseite der offiziellen Nachrichtenagentur Korean Central News Agency (KCNA) (sicherheitshalber hier nur der Link zum Wikipedia-Eintrag) des abgeschotteten Landes unter Umständen auch einen Trojaner. Das legt zumindest der Quellcode der Webseite nahe, die der IT-Sicherheitsforscher mit dem Beinamen InfoSecOtter analysiert hat. Aktuell ist die Webseite nur schwer erreichbar und funktioniert mit eingeschaltetem Noscript ohnehin nicht.

Stellenmarkt
  1. Universitätsstadt Marburg, Marburg
  2. August Beck GmbH & Co. KG, Winterlingen

Im Stammverzeichnis der Webseite entdeckte InfoSecOtter die Datei mit dem vielsagenden Namen kcna.user.exploit.exploit.kcmsf. Dort gibt es eine Javascript-Variable mit dem Hinweis auf die Datei FlashPlayer10.zip, die ebenfalls in einem Downloadverzeichnis auf dem Webserver abgelegt ist. InfoSecOtter hat sie heruntergeladen und die beiden dort enthaltenen Dateien ActiveX.exe und Plugin.exe bei Virustotal analysieren lassen. Sie seien identisch und enthielten Windows-Trojaner. Die Entwickler der Malware haben den ursprünglichen Installer von Adobe auch so manipuliert, dass er mit Administratorrechten startet, statt wie üblich im Kontext des Benutzers.

Ehrlichkeit oder Übersetzungsfehler?

Die Dateien wurden in etwa zur gleichen Zeit erstellt wie die aktuelle Webseite selbst. Die meisten Dateien dort tragen einen Zeitstempel vom Dezember 2012. Der dort dynamisch generierte Code wird mit Hilfe von Skripten ausgeführt, die in dem Ordner siteFiles/exploit liegen. Der Name könnte möglicherweise aber nicht ein ehrlicher Hinweis der nordkoreanischen Programmierer der Webseite sein, sondern schlicht ein Übersetzungsfehler, resümiert InfoSecOtter. Denn das koreanische Verb gaebalhada (개발하다) lässt sich sowohl mit "to develop" als auch mit "to exploit" ins Englische übersetzen.

Es gibt in den standardmäßig aufgerufenen Webseiten jedoch keinen Code, der den Download der Malware auslösen könnte. Auch der Code, mit dem PDFs aus dem Archiv der staatlichen Nachrichtenagentur über die Webseite heruntergeladen werden können, sei sauber, schreibt der Sicherheitsexperte. Er weist aber darauf hin, dass die Javascript-Variable von dynamisch generierten Ajax- oder JQuery-Code genutzt werden könnte, etwa, wenn Benutzer die Webseite mit einem entsprechenden Browser oder Unterseiten mit bestimmten Informationen aufrufen.

InfoSecOtter will die Webseite weiter beobachten und vor allem herausfinden, was die Malware auf einem infizierten Rechner anstellt.



Anzeige
Blu-ray-Angebote
  1. 34,99€

User_x 15. Jan 2015

wenn die dateien bei der prüfung 100%ig übereinstimmen, sind die doch dann einfach nur...

Bouncy 14. Jan 2015

In NK ist angeblich WinXP am verbreitetsten, das fragt nicht nach Adminrechten und führt...

Eckstein 14. Jan 2015

Darauf wartet er doch nur, damit er sie alle wegpwnen kann! ;-) http://40.media.tumblr...

Klitzklotsch 14. Jan 2015

Nö. Dateigröße ist anders, Hash demnach auch. https://www.virustotal.com/de/file...

nicoledos 14. Jan 2015

Koennten auch andere Dienste gewesen sein. Ein westlicher Dienst verteilt einen...


Folgen Sie uns
       


Hallo Magenta - Präsentation auf der Ifa 2018

Auf der Ifa 2018 hat die Deutsche Telekom ihren eigenen smarten Assistenten gezeigt. Er läuft auf einem ebenfalls selbst entwickelten smarten Lautsprecher und soll zunächst trainiert werden. Telekom-Kunden können an einem Test teilnehmen und erhalten dafür den Lautsprecher kostenlos.

Hallo Magenta - Präsentation auf der Ifa 2018 Video aufrufen
Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
Zukunft der Arbeit
Was Automatisierung mit dem Grundeinkommen zu tun hat

Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
Eine Analyse von Daniel Hautmann

  1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
  2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
  3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

    •  /