Gefälschte Corona-Warnungen der WHO mit Malware

Hinter gefälschten Warnhinweisen zur Corona-Krise der WHO versteckt sich Malware. Dazu werden DNS-Einstellungen von D-Link- und Linksys-Routern durch Cyberkriminelle beeinflusst.

Symbolbild

Betrüger nutzen den Informationsbedarf der Bevölkerung in der zurzeit kritischen Situation aus und bringen Spam sowie Malware in Umlauf. Aktuell sollte man sich vor Corona-Phishing-Mails, deren Absender sich als WHO tarnt oder vor Tracking-Apps, die Schadprogramme einschleusen, in Acht nehmen. Neuerdings kombinieren Kriminelle diese beiden gefährlichen Methoden, um mit einer COVID-19-Informationsapp, welche angeblich von der WHO bereitgestellt wird, Schadcode zu verbreiten. Dabei werden im Hintergrund sensible Daten abgefangen und an den Server der Betrüger weitergeleitet.

Attacken in dieser Form betreffen derzeit D-Link- und Linksys-Router. Besonders gefährlich ist, dass die DNS-Einstellungen manipuliert werden und man unwissentlich von eigentlich seriösen Webseiten auf Schadsoftware umgeleitet wird. Wie sich Cyberkriminelle Zugriffe auf Routereinstellungen verschaffen, ist aktuell nicht bekannt.

Betrügerische URL-Umleitungen bei bekannten Domains

Auf folgenden stark besuchten oder bekannten Domains wurden Redirects zur gefälschten WHO-Meldung beobachtet:

  • aws.amazon.com
  • goo.gl
  • bit.ly
  • washington.edu
  • imageshack.us
  • ufl.edu
  • disney.com
  • cox.net
  • xhamster.com
  • pubads.g.doubleclick.net
  • tidd.ly
  • redditblog.com
  • fiddler2.com
  • winimage.com

Der Domainnamen der Webseite ändert sich wegen der Manipulation nicht, somit fällt den Benutzerinnen und Benutzern der Redirect zu der Meldung kaum auf. Des Weiteren, erfolgt die Umleitung auch, wenn von Windows automatisch die Webseite http://www.msftconnecttest.com/connecttest.txt aufgerufen wird. Mittels dieser Webseite soll die Internetverbindung getestet werden.

So erkennt man einen kompromittierten Router

Bei einem manipulierten Router wurden die DNS-Server-IPs auf 109.234.35.230 und 94.103.82.249 geändert. Außerdem wird bei einem Angriff der Port 443 (HTTPS) geschlossen, damit TLS-Zertifikate unterdrückt und die Verbindung zu einer unsicheren HTTP-Seite erzeugt werden kann.

So kann man eine Router-Manipulation verhindern

Besonders bei D-Link- und Linksys-Routern soll sichergestellt werden, dass sichere Passwörter verwendet werden. Default-Passwörter sind zu vermeiden. Falls Redirects auftreten, sollte die Konfiguration überprüft und neue Passwörter vergeben werden.

Weitere Informationen

Letzte Aktualisierung: 1. April 2020

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria