{"id":266954,"date":"2022-06-09T00:10:00","date_gmt":"2022-06-08T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=266954"},"modified":"2022-06-08T20:17:01","modified_gmt":"2022-06-08T18:17:01","slug":"fake-ccleaner-suchergebnisse-verlinken-auf-information-stealer-malware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/09\/fake-ccleaner-suchergebnisse-verlinken-auf-information-stealer-malware\/","title":{"rendered":"Fake CCleaner-Suchergebnisse verlinken auf Malware (Trojaner)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Piriform CCleaner ist zwar kostenlos, aber es gibt auch eine kostenpflichtige Pro-Version. AVAST hat jetzt eine Malware-Kampagne (FakeCleaner) entdeckt, bei der Cyberkriminelle Suchergebnisse nach einem gecrackten CCleaner Pro so manipuliert haben, dass diese als Malware-Schleuder fungierten. Folgen Nutzer den Links dieser Treffer, laden sie sich eine Malware auf System, die Informationen stiehlt (Trojaner bzw. Information Stealer). K\u00f6nnte nat\u00fcrlich auch passieren, dass bei einer Suche nach \"CCleaner\" solche manipulierten Ergebnisse auftauchen.<\/p>\n

<\/p>\n

\"\"CCleaner ist ein kostenloses Programm zur Optimierung f\u00fcr die Betriebssysteme Windows, macOS und Android. Dar\u00fcber hinaus gibt es f\u00fcr Windows weitere Versionen, die kostenpflichtig als Business Solutions angeboten werden. Das Programm wurde laut Hersteller bis 2020 mehr als zweieinhalb Milliarden Mal heruntergeladen. Der Entwickler, die Piriform Ltd. geh\u00f6rt seit 2017 zum tschechischen Antivirusanbieter AVAST. Und AVAST wurde 2021 von Norton gekauft (siehe Avast wird von Norton f\u00fcr 8,6 Milliarden US-Dollar gekauft<\/a>).<\/p>\n

Hier im Blog hatte ich den CCleaner bereits h\u00e4ufiger thematisiert (siehe Artikelende) – die Meinung zu diesem Programm ist im Blog-Beitrag CCleaner: Von Schlangen\u00f6l und einer Microsoft-Warnung<\/a> nachzulesen. Microsoft hatte das Teil sogar schon mal kurzzeitig als potentiell unerw\u00fcnschtes Programm (PUP) klassifiziert (siehe Windows Defender markiert CCleaner als PUP \u2013 Teil 1<\/a>). Aber ich muss feststellen, dass immer noch Millionen Anwender auf CCleaner schw\u00f6ren. So viel zum Hintergrund.<\/p>\n

Gecrackter CCleaner Pro als K\u00f6der f\u00fcr Malware-Falle<\/h2>\n

Wo eine Software begehrt ist und zudem noch in einer kostenpflichtigen Pro-Variante erh\u00e4ltlich ist, sind Lug und Betrug nicht weit. Manche Nutzer m\u00f6chten zwar den CCleaner Pro, aber nichts bezahlen. Also suchen Sie in den Seiten des weiten Internet nach gecrackten Versionen. Der tschechischen Antivirusanbieter AVAST hat k\u00fcrzlich festgestellt, dass Cyberkriminelle Nutzer mit einem angeblich gecrackten CCleaner Pro als K\u00f6der zur Installation einer Malware, Trojaner, der Informationen stiehlt, verleiten wollen.<\/p>\n

\"Piriform<\/a><\/p>\n

Ich bin \u00fcber obigen Tweet<\/a> der Kollegen auf Thema aufmerksam geworden. Cyberkriminellen ist es in einer Blackhat-SEO-Kampagne gelungen, Suchergebnisse f\u00fcr ein eigenes Angebot bei Suchmaschinen ganz nach vorne in der Trefferliste zu katapultieren.<\/p>\n

Blackhat-SEO<\/a> ist ein Begriff aus der Suchmaschinenoptimierung, um Webseiten dort bei den Treffern nach oben zu bringen, wobei von den Suchmaschinen verp\u00f6nte (illegale) Methoden verwendet werden. Dazu geh\u00f6rt unter anderem die automatische Generierung von Texten und das Eindringen in fremde Systeme zum Setzen von Backlinks, um das Ranking der eigenen Seite zu verbessern.<\/p><\/blockquote>\n

Den Analysten von Avast ist die FakeCrack genannte Kampagne zur Verbreitung von Malware aufgefallen<\/a>, weil die Telemetrie der AVAST Sicherheitsl\u00f6sungen pl\u00f6tzlich anschlug. T\u00e4glich wurden etwa 10.000 Benutzer, haupts\u00e4chlich aus Brasilien, Indien, Indonesien und Frankreich, vor einer Infektion gesch\u00fctzt. Als die Sicherheitsexperten genauer hinschauten, stellten sie fest, dass die Nutzer auf Google nach \"ccleaner pro crack\" gesucht hatten.<\/p>\n

\"ccleaner
\nFake \"ccleaner pro crack\" Suchergebnisse in Google, Quelle: AVAST<\/p>\n

Die Treffer wurden von Google ganz vorne auf den ersten Pl\u00e4tzen angezeigt (siehe obiger Screenshot). Ich habe mal kurz getestet, es werden noch eine Menge solcher Treffer angezeigt – obwohl AVAST da inzwischen eine Link-Eintrag dazwischen platzieren konnte, der erkl\u00e4rt, wie man an den CCleaner Pro kommt.<\/p>\n

An dieser Stelle setze ich mal voraus, dass die nachfolgende Info von AVAST nicht auch eine FAKE-Meldung ist, um Leute von der Suche nach gecrackten CCleaner Pro-Varianten abzuhalten.<\/p><\/blockquote>\n

Gesch\u00fctzte ZIP-Archiv mit Trojaner<\/h2>\n

Wer die betreffenden Links anklickte, wurde laut AVAST zu einer umfangreichen Infrastruktur, die Malware liefert, weitergeleitet. Die AVAST-Leute wundern sich \u00fcber den Umfang dieser Infrastruktur. Nach dem Klicken auf den Link wird der Benutzer \u00fcber ein Netzwerk von Dom\u00e4nen zur Zielseite weitergeleitet. Diese Domains haben ein \u00e4hnliches Muster und sind auf Cloudflare unter Verwendung einiger Namensserver registriert. Der erste Domaintyp verwendet das Muster freefilesXX.xyz, wobei XX f\u00fcr Ziffern steht. Diese Domain dient normalerweise nur als Weiterleitung. Die Weiterleitung f\u00fchrt zu einer anderen Seite mit der Top-Level-Domain cfd. Diese cfd-Domains dienen sowohl als Weiterleitung als auch als Landing Page.<\/p>\n

Jedenfalls gelangte der Nutzer am Ende zu einem Download einer vermeintliche gecrackten CCleaner Pro-Version. Der Link verwies dabei zu einer legitimen File-Sharing-Plattform (z. B. die japanische Dateifreigabe filesend.jp oder mediafire.com). Die Akteure, die hinter der Kampagne stehen, lieferten dann aber ein mit dem Kennwort (meist 1234) gesch\u00fctztes ZIP-Archiv aus. Das Kennwort verhindert, dass das Archiv durch Antivirus-Software gescannt wird. Die ZIP-Datei enth\u00e4lt in der Regel eine einzige ausf\u00fchrbare Datei, die \u00fcblicherweise setup.exe<\/em> oder cracksetup.exe <\/em>genannt wurde. AVAST hat acht verschiedene ausf\u00fchrbare Dateien gefunden, die von dieser Kampagne verbreitet wurden.<\/p>\n

Wer diese Datei ausf\u00fchrte, holte sich eine Malware (Trojaner) auf das System, die pers\u00f6nliche und andere sensible Daten stahl. Die Akteure konzentrieren sich darauf, den PC des Benutzers zu scannen und private Informationen, wie etwa Passw\u00f6rter oder Kreditkartendaten, aus den dort vorgefundenen Browsern zu sammeln. Es werden auch Daten aus elektronischen Geldb\u00f6rsen gesammelt. Die Daten wurden in einem verschl\u00fcsselten ZIP-Format auf C2-Server \u00fcbertragen. Der Schl\u00fcssel zur Verschl\u00fcsselung der ZIP-Datei ist jedoch fest in die Bin\u00e4rdatei einkodiert, so dass es nicht schwierig war, an den Inhalt zu gelangen. Die verschl\u00fcsselte ZIP-Datei enth\u00e4lt alle zuvor erw\u00e4hnten Informationen, wie z. B. Informationen \u00fcber das System, installierte Software, Screenshots und vom Browser gesammelte Daten, einschlie\u00dflich Passw\u00f6rter oder private Daten von Krypto-Erweiterungen.<\/p>\n

Wer sich f\u00fcr das Thema interessiert, kann den Bericht von AVAST<\/a> durchgehen. Dort wird auch erkl\u00e4rt, wie man den Proxy, den die Malware-Infektion in der Registrierung von Windows hinterlassen hat, wieder entfernt.<\/p>\n

Ich formuliere es mal abschlie\u00dfend so: Da bekommt mein \"Finger weg vom CCleaner\"-Tipp, den ich schon in anderen Artikeln gab, eine g\u00e4nzlich neue Bedeutung. Der regul\u00e4ren Blog-Leserschaft ist das schon klar, und auch, dass man sich keine gecrackte Software auf das System holt. Aber ich habe den Fall hier im Blog aufgenommen, da es auch den Typ des \"ich probiere es mal\"-Anwenders gibt.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>AVAST CCleaner 5.45 und die Telemetrie<\/a>
\nCCleaner 5.45 zur\u00fcckgezogen und weitere Merkw\u00fcrdigkeiten<\/a>
\nCCleaner: Automatisches Update von Version 5.38 auf v5.46?<\/a>
\nCCleaner V 5.46 will verbesserte Dateneinstellungen bieten<\/a>
\nVorsicht vor CCleaner \u2013 AVAST als PUP im Beifang<\/a>
\nCCleaner: Von Schlangen\u00f6l und einer Microsoft-Warnung<\/a>
\nAutsch: CCleaner als Malware-Schleuder<\/a>
\nAVAST-Stellungnahme zur CCleaner-Backdoor<\/a>
\nAVAST: CCleaner Malware zielte auf Firmen<\/a>
\nCCleaner Malware \u2013 weitere Analysen von AVAST<\/a>
\nWindows 10 V1809: Update KB4469342 blockt alten CCleaner<\/a>
\nCCleaner v5.57.7182 mit Easy Clean-Mode<\/a>
\nFinger weg vom CCleaner 5.59.7230 mit CCleaner Browser<\/a>
\nProblem: CCleaner 5.69 l\u00f6scht Dateien von Firefox-Erweiterungen<\/a>
\nCCleaner v5.70 fixt Firefox-Bug<\/a>
\nWindows Defender markiert CCleaner als PUP \u2013 Teil 1<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Piriform CCleaner ist zwar kostenlos, aber es gibt auch eine kostenpflichtige Pro-Version. AVAST hat jetzt eine Malware-Kampagne (FakeCleaner) entdeckt, bei der Cyberkriminelle Suchergebnisse nach einem gecrackten CCleaner Pro so manipuliert haben, dass diese als Malware-Schleuder fungierten. Folgen Nutzer den … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[718,4328,3836],"class_list":["post-266954","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-ccleaner","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266954","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=266954"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266954\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=266954"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=266954"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=266954"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}