![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Kleiner Hinweis an Leute, die sich gerne Software aus dem Internet herunterladen. Es sieht so aus, als ob die Domains audacity.de und keepass.de in die H\u00e4nde von Leuten gekommen sind, die damit Schindluder treiben. Statt ein Audio-Tool oder einen Passwort-Manager zu bekommen, wird \u00fcber die betreffenden Seiten Malware verteilt. Hier ein kurzer \u00dcberblick.<\/p>\n
<\/p>\n
Vorige Woche bin ich auf Twitter \u00fcber nachfolgenden Tweet<\/a> von Mike Kuketz gestolpert, der das Thema aufgreift. Sowohl die Domain keepass.de<\/em> (offizielle Domain ist keepass.info<\/a>) als auch die Domain audacity.de<\/em> (offizielle Domain ist audacityteam.org<\/a>) verbreiten wohl Schadsoftware. Da hat sich also jemand die .de-Domains mit popul\u00e4ren Namen registriert, um Schindluder zu treiben.<\/p>\n Mike Kuketz hat am 3. Februar 2022 im Artikel Warnung vor Domain keepass.de: Seite verbreitet Schadsoftware<\/a> davor gewarnt, dass die Domain keepass.de<\/em> Schadsoftware verteile. Keepass ist ja ein Passwort-Manager, der recht popul\u00e4r ist.\u00a0 Es ist naheliegend, dass die Leute als erstes die de-Domain aufsuchen, um sich den vermeintlichen Passwort-Manager herunterzuladen. Mike beschreibt die Details auf seiner Webseite.<\/p>\n Zum 4. Februar 2022, also einen Tag nach dem Bericht von Kuketz, war die domain keepass.de<\/em> wieder sauber (die Vertipper-Domain keepas.de<\/em> ist weiterhin clean). War alles ein Versehen? Dazu schreibt Mike Kuetz:<\/p>\n Update 04.02.2022<\/p>\n Mittlerweile ist die Schadsoftware von der Seite verschwunden. Lasst euch davon aber nicht t\u00e4uschen, die Website hat schon in der Vergangenheit Schadsoftware verbreitet. Das l\u00e4sst sich \u00fcber archive.org<\/a> nachvollziehen. Dort sind noch Downloads archiviert, die Schadsoftware enthalten. Ein Impressum wurde auch erg\u00e4nzt. Die Adresse lautet: Bel Ombre Road P 5057 00000 Beau Vallon, Mah\u00e9, Seychelles.<\/p><\/blockquote>\n Ich habe zum 7.2.2022 dann eine schnelle \u00dcberpr\u00fcfung der Domain<\/a> auf VirusTotal vornehmen lassen. Es sind immer noch drei Antivirus-Anbieter, die diese Seite als sch\u00e4dlich auflisten.<\/p>\n Im Artikel Warnung: audacity.de verbreitet ebenfalls Schadsoftware<\/a> greift Mike dann auch die Domain audacity.de <\/em>als Verteiler von Schadsoftware auf. Im Beitrag arbeitet er heraus, dass im Impressum beider Domains die gleiche Person auftaucht und im Impressum Adressen aus Malta und den Seychellen genannt werden. Die Impressumsangaben der betreffenden Seiten sind als Grafik eingef\u00fcgt, um eine Suche zu erschweren. Auch weitere Hinweise von Mike, wie die Information \u00fcber einen WordPress-Benutzer pawel,<\/em> scheinen schon ge\u00e4ndert zu sein. Ich habe beim Schreiben dieses Beitrag auch diese Domain auf VirusTotal pr\u00fcfen<\/a> lassen.<\/p>\n Auch dort melden drei von 93 Virenscannern, dass die Seite sch\u00e4dliche Inhalte verbreitet. Selbst wenn aktuell keine Malware mehr vorhanden sein sollte, sind die Seiten verd\u00e4chtig. Es sieht so aus, als ob jemand popul\u00e4re Software nutzt, um unter deren Namen .de<\/em>-Domains zu registrieren und diese dann zur Verbreitung von Malware zu missbrauchen. Weitere Details finden sich im Artikel Warnung: audacity.de verbreitet ebenfalls Schadsoftware<\/a> von Mike Kuketz.<\/p>\n Erg\u00e4nzungen:<\/strong> Das ist ein generelles Problem, dass viele .de-Domains unter falscher Flagge segeln. Beim vlc besteht die Verwechselungsm\u00f6glichkeit ebenfalls, denn vlc.de<\/em> ist keine offizielle Seite, da der VLC-Player auf videolan.org<\/em><\/a> gehostet wird. Auch filezilla.de<\/em> (Original w\u00e4re filezilla-project.org<\/a>), oder openoffice.de<\/em> (Original w\u00e4re openoffice.org<\/a>) fallen in diese Kategorie.\u00a0Wer nach Firefox sucht und den Namen der .de-Domain eintippt, landet aktuell bei einem Musikverlag.<\/p>\n Insidern ist auch bekannt, dass bei den Downloads von chip.de und ggf. computerbild.de ein PUP-Installer mitgeliefert wird. Dieser installiert beim Setup von heruntergeladenen Anwendungen weitere unerw\u00fcnschte Software (Potentially Unwanted Programs, PUP).<\/p>\n Mein Tipp:<\/strong> Wenn ihr unsicher seid, welche Seite die \"offizielle\" ist – man kann den Namen der Software bzw. des Produkts in einer Suchmaschine abfragen und dort nach der betreffenden Seite von Wikipedia schauen. Dort wird i.d.R. die offizielle Seite verlinkt. Und nat\u00fcrlich gilt: Den Download m\u00f6glichst bei virustotal.com<\/a> \u00fcberpr\u00fcfen lassen. Dann hat man schon mal viele Fallen umschifft.<\/p>\n Anmerkung:<\/strong> Und wegen der Diskussion hier in den Kommentaren: Nein, ich sehe nicht, wie jeder Mann oder jede Frau davor gefeit ist, auf so etwas hereinzufallen. Die Meinung \"Intelligenz helfe\", geht haarscharf am Thema vorbei.<\/p>\n Ich erinnere mich selbst mal auf einen Phishing-Versuch mit meinem E-Mail-Konto hereingefallen zu sein. An dem Tag passte alles: Eine Lesermeldung, der \u00fcber Probleme mit dem Anbieter und den Postf\u00e4chern berichtete, ein fetteres Problem mit WordPress in den Blogs, die mich arg besch\u00e4ftigte, und dann eine Phishing-Mail \"drei Nachrichten konnten nicht zugestellt werden\". Also schnell mal nachschauen …<\/p>\n Habe es zwar sofort gemerkt, aber die Zugangsdaten waren da schon mal eingegeben. Habe die sofort ge\u00e4ndert, so dass der Vorfall folgenlos blieb.<\/p>\n Hat mir aber gezeigt, dass die Argumentation \"alles in Intelligenztest\" oder \"einfach brain.exe verwenden\" schlicht nicht funktioniert. Du hast mal einen schlechten Tag, bist \u00fcberm\u00fcdet oder das Zeug ist so gut gemacht und trifft in dem Moment deine Erwartungshaltung (bei mir war es in obigem Fall das \"da gibt es doch dieses Problem mit dem Anbieter\", schon kann es passiert sein. Das ist der Grund, warum ich hier immer wieder \u00fcber solche F\u00e4lle blogge – wenn es drei Leute lesen, die anschlie\u00dfend vor einer solchen Falle bewahrt werden, hat es sich gelohnt.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":" Kleiner Hinweis an Leute, die sich gerne Software aus dem Internet herunterladen. Es sieht so aus, als ob die Domains audacity.de und keepass.de in die H\u00e4nde von Leuten gekommen sind, die damit Schindluder treiben. Statt ein Audio-Tool oder einen Passwort-Manager … Weiterlesen Es ist ein altes Problem, welches uns seit Jahren begleitet: Da werden Webseiten von Entwicklern – z.B. f\u00fcr Plugins f\u00fcr Google Chrome – samt den Produkten, durch Dritte aufgekauft. Und kurze Zeit sp\u00e4ter beginnen die Seiten infizierte Versionen der urspr\u00fcnglichen Software zu verteilen. Ich hatte dies beispielsweise im Blog-Beitrag Chrome-Erweiterung The Great Suspender wegen Malware aus Store entfernt<\/a> und weiteren Artikeln schon mal aufgegriffen.<\/p>\n
audacity.de und keepass.de<\/h2>\n
![\"audacity.de](\"https:\/\/i.imgur.com\/efIoGYl.png\" "\\"audacity.de")
<\/a><\/p>\nWieder clean, aber Spuren bleiben<\/h2>\n
![\"](\"https:\/\/i.imgur.com\/bHivLrm.png\" "\\"")
<\/a><\/p>\n![\"](\"https:\/\/i.imgur.com\/CLfkWRc.png\" "\\"")
<\/a><\/p>\nDomain-Grabbing ist h\u00e4ufig<\/h2>\n