/Erpressungstrojaner Cerber soll Bitcoins klauen

Erpressungstrojaner Cerber soll Bitcoins klauen

Erpressungstrojaner Cerber soll Bitcoins klauen


Dennis Schirrmacher

(Bild: Santeri Viinamäki, CC BY 2.0 )

Offenbar ist den Malware-Entwicklern von Cerber das Lösegeld nicht genug: Der Verschlüsselungstrojaner soll sich nun auch Bitcoin-Wallets und Passwörter unter den Nagel reißen.

Der Erpressungstrojaner Cerber ist in einer aktualisierten Variante aufgetaucht, die neue Schadfunktionen mitbringt. Sicherheitsforscher von Trend Micro warnen in einem Blogeintrag, dass Cerber jetzt nicht nur Daten verschlüsselt und ein Lösegeld fordert, sondern es auch auf Bitcoin-Wallets und in Webbrowsern gespeicherte Passwörter abgesehen hat.

Prominenter Trojaner

Das ist mittlerweile die siebte Version des Schädlings, der seit 2016 immer wieder sein Unwesen treibt. Derzeit deutet aber nichts auf eine Verbreitungswelle hin. Die letzte große Kampagne lief im Mai dieses Jahres vorwiegend in den USA. Einem Bericht zufolge machte Cerber in der Vergangenheit 90 Prozent aller Ransomware-Infektionen aus.

Wie fast alle Verschlüsselungstrojaner soll auch die neue Cerber-Variante als Dateianhang von betrügerischen Mails auf Windows-Computer kommen. Für eine erfolgreiche Infektion muss ein Opfer aber auf die Mail hereinfallen und den JavaScript-Anhang öffnen. Erst dann installiert sich der Schädling und beginnt sein Schadenswerk.

Weitere Wege zur Monetarisierung

Vor der Verschlüsselung soll Cerber die Bitcoin-Wallets Bitcoin Core, Electrum und Multibit suchen. Ist das erfolgreich, sollen die Wallets auf den Servern der Drahtzieher landen und vom infizierten Computer gelöscht werden, erläutert Trend Micro. Das bringt den Erpressern aber noch kein Geld ein, schließlich benötigen sie noch die Passwörter, um die Wallets öffnen zu können. Ganz durchdacht durchdacht wirkt das Ganze nicht. Zumal Electrum seit 2013 auf eine neuere Wallet-Datei als die von Cerber geklaute setzt.

Darüber hinaus soll der Erpressungstrojaner Passwörter aus den Browsern Chrome, Internet Explorer und Firefox abziehen. Wie das im Detail funktioniert, führen die Sicherheitsforscher derzeit nicht aus.

Ganz neu sind erweiterte Schadfunktionen von Verschlüsselungstrojanern nicht: Bereits im Sommer 2016 untersuchte heise Security im zweiteiligen Hintergrundartikel “Analysiert: Ransomware meets Info-Stealer – RAA und das diebische Pony” einen ähnlichen Ansatz.

[UPDATE, 06.08.2017 13:00 Uhr]

Auflistung der Bitcoin-Wallets im Fließtext korrigiert.


(des)