Trojaner an Bord: Mit Schadcode verseuchte 7-Zip-Version in Umlauf
Sicherheitsforscher von Malwarebytes haben eine Warnung vor einer manipulierten und mit Schadcode verseuchten Version des beliebten Packprogramms 7-Zip herausgegeben. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) wurde eine trojanisierte Variante der Software über die Domain 7zip.com verbreitet. Anwender sollten darauf achten, 7-Zip nur von der offiziellen Webseite des Projektes(öffnet im neuen Fenster) herunterzuladen, die unter 7-zip.org gehostet ist.
Aufgefallen war der Betrug durch einen Beitrag auf Reddit(öffnet im neuen Fenster) . Dort erklärte ein Nutzer Ende Januar, er habe 7-Zip von 7zip.com heruntergeladen, nachdem ihm diese Domain in einem Youtube-Video als Bezugsquelle für das Packprogramm empfohlen wurde. Anschließend habe er das Tool auf einen USB-Stick geladen und auf seinem alten Laptop sowie einem neuen Computer installiert.
7-Zip konfrontierte den Nutzer zunächst mit Fehlermeldungen, die auf die Verwendung einer 32- anstelle der 64-Bit-Version hinwiesen. Letztendlich lief die Software aber – zumindest bis rund zwei Wochen später der Microsoft Defender Alarm schlug und vor einem Trojaner des Typs Trojan:Win32/Malgent!MSR(öffnet im neuen Fenster) warnte. Die verdächtige Software wurde daraufhin in die Quarantäne verschoben.
Trojaner mit Proxy-Funktion
Die Forscher von Malwarebytes warnen vor allem deshalb vor dieser Malware-Kampagne, weil für einige Nutzer aufgrund der Ähnlichkeit zum Original kaum erkennbar ist, dass es sich bei 7zip.com nicht um die echte Domain von 7-Zip handelt. Zudem ist die Adresse leicht über Google auffindbar. Wer das Packprogramm von dort herunterlädt, läuft jedoch Gefahr, sich eine Malware einzufangen, die Angreifern einen persistenten Fernzugriff ermöglicht.
Laut Malwarebytes nistet sich der Trojaner im Autostart ein, um nach jedem Neustart des Windows-Systems wieder verfügbar zu sein. Zudem werden Firewall-Regeln manipuliert, damit die Angreifer eine Verbindung herstellen und weiteren Schadcode nachladen können. Überdies stellt die Malware einen Proxy-Node bereit, der es den Angreifern ermöglicht, eigenen Traffic über infizierte Systeme zu leiten.
Interessant ist, dass sich die Download-Links auf 7zip.com in den letzten Tagen geändert haben. Während die Downloads im Januar(öffnet im neuen Fenster) teilweise noch über die Domain update.7zip.cloud abgewickelt wurden, verweisen bei der aktuellen Version der Webseite alle Links auf die Originaldomain 7-zip.org. Vermutlich hat der Betreiber auf die Malware-Berichte reagiert und die manipulierten Pakete von seiner Seite entfernt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.