• IT-Karriere:
  • Services:

Nachrichtenagentur: Nordkoreanische Webseite bietet Malware zum Download

Wer die Webseite der staatlichen nordkoreanischen Nachrichtenagentur besucht, könnte sich ganz offiziell einen Trojaner einfangen.

Artikel veröffentlicht am ,
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur
Ein Hinweis auf die Malware auf der Webseite der staatlichen nordkoreanischen Nachrichtenagentur (Bild: InfoSecOtter)

Neben Fotos von Kim Jung Un beim Besuch in nordkoreanischen Betrieben erhalten Besucher der Webseite der offiziellen Nachrichtenagentur Korean Central News Agency (KCNA) (sicherheitshalber hier nur der Link zum Wikipedia-Eintrag) des abgeschotteten Landes unter Umständen auch einen Trojaner. Das legt zumindest der Quellcode der Webseite nahe, die der IT-Sicherheitsforscher mit dem Beinamen InfoSecOtter analysiert hat. Aktuell ist die Webseite nur schwer erreichbar und funktioniert mit eingeschaltetem Noscript ohnehin nicht.

Stellenmarkt
  1. K&P Computer Service- und Vertriebs GmbH, Erfurt, Leipzig, Plauen, Chemnitz, Braunschweig (Home-Office möglich)
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Bonn-Röttgen

Im Stammverzeichnis der Webseite entdeckte InfoSecOtter die Datei mit dem vielsagenden Namen kcna.user.exploit.exploit.kcmsf. Dort gibt es eine Javascript-Variable mit dem Hinweis auf die Datei FlashPlayer10.zip, die ebenfalls in einem Downloadverzeichnis auf dem Webserver abgelegt ist. InfoSecOtter hat sie heruntergeladen und die beiden dort enthaltenen Dateien ActiveX.exe und Plugin.exe bei Virustotal analysieren lassen. Sie seien identisch und enthielten Windows-Trojaner. Die Entwickler der Malware haben den ursprünglichen Installer von Adobe auch so manipuliert, dass er mit Administratorrechten startet, statt wie üblich im Kontext des Benutzers.

Ehrlichkeit oder Übersetzungsfehler?

Die Dateien wurden in etwa zur gleichen Zeit erstellt wie die aktuelle Webseite selbst. Die meisten Dateien dort tragen einen Zeitstempel vom Dezember 2012. Der dort dynamisch generierte Code wird mit Hilfe von Skripten ausgeführt, die in dem Ordner siteFiles/exploit liegen. Der Name könnte möglicherweise aber nicht ein ehrlicher Hinweis der nordkoreanischen Programmierer der Webseite sein, sondern schlicht ein Übersetzungsfehler, resümiert InfoSecOtter. Denn das koreanische Verb gaebalhada (개발하다) lässt sich sowohl mit "to develop" als auch mit "to exploit" ins Englische übersetzen.

Es gibt in den standardmäßig aufgerufenen Webseiten jedoch keinen Code, der den Download der Malware auslösen könnte. Auch der Code, mit dem PDFs aus dem Archiv der staatlichen Nachrichtenagentur über die Webseite heruntergeladen werden können, sei sauber, schreibt der Sicherheitsexperte. Er weist aber darauf hin, dass die Javascript-Variable von dynamisch generierten Ajax- oder JQuery-Code genutzt werden könnte, etwa, wenn Benutzer die Webseite mit einem entsprechenden Browser oder Unterseiten mit bestimmten Informationen aufrufen.

InfoSecOtter will die Webseite weiter beobachten und vor allem herausfinden, was die Malware auf einem infizierten Rechner anstellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  2. 304€ (Bestpreis!)
  3. 328€ (mit Rabattcode "YDENUEDR6CZQWFQM" - Bestpreis!)
  4. 689€ (mit Rabattcode "PRIMA10" - Bestpreis!)

User_x 15. Jan 2015

wenn die dateien bei der prüfung 100%ig übereinstimmen, sind die doch dann einfach nur...

Bouncy 14. Jan 2015

In NK ist angeblich WinXP am verbreitetsten, das fragt nicht nach Adminrechten und führt...

Eckstein 14. Jan 2015

Darauf wartet er doch nur, damit er sie alle wegpwnen kann! ;-) http://40.media.tumblr...

Klitzklotsch 14. Jan 2015

Nö. Dateigröße ist anders, Hash demnach auch. https://www.virustotal.com/de/file...

nicoledos 14. Jan 2015

Koennten auch andere Dienste gewesen sein. Ein westlicher Dienst verteilt einen...


Folgen Sie uns
       


Neue Funktionen in Android 11 im Überblick

Wir stellen die neuen Features von Android 11 kurz im Video vor.

Neue Funktionen in Android 11 im Überblick Video aufrufen
Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

Pinephone im Test: Das etwas pineliche Linux-Phone für Bastler
Pinephone im Test
Das etwas pineliche Linux-Phone für Bastler

Mit dem Pinephone gibt es endlich wieder ein richtiges Linux-Telefon, samt freier Treiber und ohne Android. Das Projekt scheitert aber leider noch an der Realität.
Ein Test von Sebastian Grüner

  1. Linux Mehr Multi-Touch-Support in Elementary OS 6
  2. Kernel Die Neuerungen im kommenden Linux 5.9
  3. VA-API Firefox bringt Linux-Hardwarebeschleunigung auch für X11

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

    •  /