Der Antivirenhersteller Eset berichtet, dass die kostenfreie Fernwartungs-Software Ammyy Admin im Juni offenbar nicht zum ersten Mal mit einem Trojaner ausgeliefert wurde.

Danach war die auf der Internetseite des Herstellers angebotene Version am 13. und 14. Juni sowohl mit Banking-Malware als auch dem Mehrzweck-Trojaner Win32/Kasidet infiziert.

Auf der Suche nach Kohle aller Art

Die Malware sucht auf den infizierten Systemen nach Dateien, deren Dateinamen die Zeichenfolgen „bitcoin“, „wallet.dat“, „pass.txt“ oder „passwords.txt“ enthalten. Außerdem hat der Trojaner laufende Prozesse ausgeforscht, die etwa „electrum“, „keepass“ oder „multibit“ heißen – die Angreifer hatten es also wohl auf Bitcoin-Wallets und Zugangsdaten abgesehen.

Im Schatten der Fußball-Weltmeisterschaft

Die Schadsoftware leitete ihre Funde dann an einen Command-and-Control-Server (C&C-Server) weiter, der unter der Domain fifa2018start.info erreichbar war. Anfragen an eine solche Domain dürften zum Start der Fußball-WM nicht weiter aufgefallen sein.

Eset rät allen potenziellen Opfern, jetzt Gegenmaßnahmen einzuleiten und ein zuverlässiges Sicherheitsprodukt zum Scannen und Säubern infizierter Rechner zu verwenden.