Neue Sefnit-Variante nutzt SSH für Klickbetrug

Es ist eine neue Variante von Sefnit im Umlauf, die das Tor-Anonymisierungsnetzwerk durch das Secure Shell (SSH)-Netzwerkprotokoll ersetzt, um die Kommunikation mit einem Kommando- und Kontrollserver herzustellen. Was bedeutet das für Endnutzer? Grundlegend handelt es sich um eine neue Malware, die Ihren Computer befallen und in einen Zombie verwandeln kann, der Geld für seinen Meister eintreibt, indem Anzeigen angeklickt und Mining nach Kryptowährungsgold betrieben wird.

Wenn Sie Emsisoft nutzen, haben Sie Glück, denn wir stärken Ihnen den Rücken.

Eine kurze Geschichte von Sefnit

Malware der Sefnit-Familie fungiert als Trojaner oder als Programm, das sich als etwas nützliches ausgibt, um im Hintergrund schädliche Funktionen zu verbergen. Sefnit kann mit Programmen bereitgestellt werden, die Sie tatsächlich herunterladen möchten, oder er kommt als Standalone-Trojaner. Sefnit wird üblicherweise genutzt, um eine Reihe schädlicher Aktionen auszuführen und verbindet Ihren Computer darüber hinaus mit einem Klickbetrug oder einem Kryptowährungs-Mining-Botnet. Er kann Angreifern auch das Fernsteuern Ihrer Maschine ermöglichen und weitere Malware herunterladen.

Eines der grundlegenden Konzepte von Malware ist der Kommando- und Kontrollserver, auch bekannt als CnC (Commando and Control). Wenn Ihr Computer von Botnet-Malware infiziert wird, verwandelt er sich im Wesentlichen zu einem Zombie, der über einen CnC-Server Befehle ausführt. In vielen Fällen können Befehle genutzt werden, um sensible Informationen zu senden, die Angreifern dabei helfen, Identitätsdiebstahl zu begehen. Mit Sefnit können Befehle ausgeführt werden, die beispielsweise auf Anzeigen klicken oder Kryptowährungsgold minen. Wie Sie wahrscheinlich schon vermuten, dienen diese beiden Aktionen dazu, mit Malware an Geld zu kommen.

Das Verbinden eines Opfer-Computers mit einem CnC-Server ist natürlich hochgradig illegal. Die größte Herausforderung für Malware-Autoren stellt daher das Finden eines Servers und eines Kommunikationskanals dar, auf und über den sie ihre bösartigen Taten begehen können. Angreifer, die Sefnit von 2011 bis 2013 verbreiteten, stellten schließlich fest, dass die beste Methode die Erstellung einer Variante der Malware ist, die über Tor läuft – das Anonymisierungsnetzwerk der Anonymisierungsnetzwerke und ein Unterbereich des Deep Web. Diese Variante war als Mevade bekannt und bis September 2013 war Mevade für einen 600%-igen Anstieg in der Tor-Nutzerbasis verantwortlich – bei allen handelte es sich tatsächlich um Zombie-Computer.

Letztendlich veröffentlichten Tor und Microsoft Patches, die die Tor-Schwachstelle für dieses riesige Botnet behoben, und schon bald verringerte sich die Nutzerbasis des Netzwerks auf seine normale, humane Größe. Aber wie diese neue SSH-fähige Sefnit-Variante zeigt, lassen sich Malware-Autoren nicht so schnell entmutigen.

Sefnit über SSH

Sefnit über SSH wurde von Sicherheitsforschern bei Facebook entdeckt, mit Hilfe von Geoff McDonald, einem Microsoft-Sicherheitsforscher, der dabei half, Sefnit unter Tor zu entschärfen. Wenn Sie an der technischen Analyse der Malware interessiert sind, finden Sie hier und hier Berichte.

Im Wesentlichen ist das Secure Shell-Protokoll einfach ein Kommunikationskanal, über den ein Computer kommunizieren oder – im Falle von Sefnit – ein anderer Computer gesteuert werden kann. Diese neue Sefnit-Variante nutzt SSH über Port 443, um eine Reihe bösartiger Downloads zu initiieren. Weitere Informationen zu Ports finden Sie im Emsisoft Security Knowledgebase-Artikel Was ist ein Port?.

Schützen Sie sich vor Sefnit

Nutzer, die Emsisoft Anti-Malware verwenden, sind in vielerlei Hinsicht automatisch vor dieser neuen Sefnit-Variante geschützt.

• Facebooks Analyse zeigt, dass der SSH Sefnit von Filescout übertragen wird, das selbst ein potentiell unerwünschtes Programm oder ein PUP (Potentially Unwanted Program) ist. PUPs sind technisch rechtlich gesehen keine Malware, und dennoch ist Emsisoft Anti-Malware so konzipiert, dass Sie vor ihnen geschützt werden, da sie ziemlich störend sein und die Ressourcen Ihrer Maschine durchsickern lassen können und – wie es bei dieser neuen Form von Sefnit der Fall ist – auch Malware verbreiten können.
• Die Malware, die Filescout überträgt, ist ein „Nullsoft Installer.“ Emsisoft Anti-Malwares Dual-Engine-Scanner erkennt diese Malware als Dropped:Trojan.Generic.11179864 (B) (SHA-1 099fa59839c0da006d1ebab53bbfaeb94f63a27c).
• Sobald installiert, initiiert der „Nullsoft Installer“ die Installation einer schädlichen ausführbaren Datei, die ziemlich unkreativ file1.exe heißt. Dabei handelt es sich um die Malware, welche Sefnit die Funktionalität über ein SSH-Protokoll erlaubt, und Emsisoft Anti-Malware erkennt sie als Gen:Variant.Zusy.88587 (B) (SHA-1 51e16c2729df79e91863b0fccc1af9349fc65270).

Benutzer, die Emsisoft noch nicht verwenden, können eine SSH Sefnit-Infektion auf zwei Arten diagnostizieren. Der erste Indikator ist die Nutzung eines SSH-Protokolls auf Port 443. Der zweite ist eine allgemeine Verschlechterung der Systemleistung, da die Malware infizierte Computer auf Kryptowährung minen lässt.

Wie immer sind alle Leser, die Emsisoft Anti-Malware noch nicht nutzen und eine Infektion durch diese neue Gefahr vermuten, eingeladen, Hilfe von unseren Malware-Entfernungsexperten in unserem Support-Forum Hilfe, mein PC ist infiziert! in Anspruch zu nehmen. Die Diagnose und Entfernung ist für alle kostenlos. Wenn Sie mit unserem Service zufrieden sind, können Sie unsere Software sogar 30 Tage lang kostenlos testen.

Wir wünschen Ihnen einen schönen (Malware-freien) Tag!