Ransom32 kommt via JavaScript

Es zeigt sich wiedereinmal, dass die bösen Jungs nicht schlafen und auch sie ihre Schadprogramme weiterentwickeln: Als erste Ransomware seiner Art nistet sich Ransom32 per JavaScript auf dem Rechner des Opfers ein.

Ransom32 soll dazu das NW.js-Framework nutzen. Die Entwickler erstellen damit JavaScript-Applikationen, die aufgrund der Cross-Plattform-Eigenschaften auch problemlos für Linux und Mac OS X angepasst werden können. Weiter ermöglicht eine mit NW.js-Framework erstellte Anwendung weitaus tiefere Eingriffe in die Betriebssysteme als eine in einer Sandbox laufende App im Webbrowser.

Das Hauptproblem stellt derzeit aber die Tatsache dar, dass Virenscanner aufgrund der Legitimität des NW.js-Frameworks nicht Alarm schlagen. Sie erkennen die Fingerprints der damit erstellten Anwendungen nicht als Grund, diese als bösartig einzustufen.

Da auch andere Anwendungen die Einbettung von HTML- und JavaScript-Code erlauben und nutzen, ist nicht nur der Browser ein Einfallstor: Der Kryptologe Fabian Wosnar stieß so z.B. auf ein selbstentpackendes RAR-Archiv. Dieses enthielt seinen Angaben nach Ransom32 mitsamt zugehöriger Laufzeitumgebung. Entpacken durch Doppelklick startete somit auch die Ransomware selbst.

//matthis.p

Quellen (Stand 09.01.2016):

www.threadpost.com blog.emisoft.com www.heise.de

Bookmark the permalink.

Comments are closed.