Daten kopierende Malware: Forscher teilen E-Mail-Adressen mit Have I Been Pwned

Namenlose Malware griff sensible Daten von über drei Mio. Windows-Systemen ab. Analysten von NordLocker holten den Passwort-Prüfdienst HIBP mit ins Boot.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 11 Beiträge

(Bild: Photon photo/Shutterstock.com)

Von
  • Olivia von Westernhagen

Das Unternehmen NordLocker hat im Zuge von Malware-Analysen eine große Menge teils sensibler Datensätze entdeckt. Schadcode, den die Forscher als "Nameless Malware" bezeichnen, soll die Daten im Zeitraum zwischen 2018 und 2020 von mehr als drei Millionen Windows-Rechnern zusammenkopiert haben. Um potenziell Betroffenen zumindest einen Anhaltspunkt für eine mögliche Infektion zu geben, hat NordLocker mehr als 1,1 Millionen aus dem Datensatz stammende E-Mail-Adressen an den Prüfdienst Have I Been Pwned weitergegeben.

NordLockers Ausführungen zufolge umfasst die "Beute" der namenlosen Malware neben besagten Adressen unter anderem auch vollständige Zugangsdatensätze für teils sehr bekannte Webdienste und Plattformen wie Facebook, Google (Gmail und Co.) oder Amazon. Die von den Systemen kopierten Daten hatte der Schadcode offenbar in einer zentralen, übers Internet zugänglichen Datenbank gespeichert. NordLocker habe den Datenbank-Fund an das US-CERT und den zuständigen Cloudspeicher-Anbieter gemeldet, der die Datenbank vom Netz genommen habe.

HIBP bietet die Möglichkeit, eine riesige Datenbank mit mittlerweile mehr als 11 Milliarden Einträgen nach einer Mail-Adresse zu durchsuchen. Normalerweise kann man dies unter Eingabe der betreffenden Adresse direkt auf der Startseite von haveibeenpwned.com tun. Die Daten von NordLocker hat HIBP-Betreiber Troy Hunt allerdings als "Sensitive Breach" gekennzeichnet, so dass nur die Besitzer der E-Mail-Adressen selbst prüfen können, ob sie betroffen sind. Das funktioniert über den Menüpunkt "Notify me" bzw. über das Pendant "Domain Search" für Domain-Besitzer. Im Falle eines Treffers erfolgt eine direkte Benachrichtigung an die angegebene E-Mail-Adresse.

Der "Nameless Malware"-Beschreibung von NordLocker zufolge hat der Schädling fast 26 Millionen Login-Datensätze, bestehend aus Kombinationen der bereits erwähnten E-Mail-Adressen (oder alternativ einem Nutzernamen) mit Passwörtern von den 3,25 Millionen Windows-Systemen entwendet. Die meisten Credentials seien aus Browsern, allen voran Google Chrome, kopiert worden. Hinzu kämen mehr als zwei Milliarden Cookies und 6,6 Millionen Dateien von Desktops und aus Download-Ordnern. Bei mehr als 50 Prozent der Dateien habe es sich um Textdateien gehandelt, in denen die Forscher wiederum vielfach notierte Zugangsdaten oder andere persönliche Informationen entdeckt hätten.

NordLocker ordnet die kopierten Zugangsdaten zwölf unterschiedlichen Bereichen zu. Besonders ins Auge fallen unter anderem

  • 1.540.650 Google- und 403.580 Outlook-Zugangsdaten ("Email Services")
  • 1.471.416 Facebook- und 261.773 Twitter Zugangsdaten ("Social Media") und
  • 209.534 Amazon-Zugangsdaten ("Online Marketplace").

Auch in den Bereichen "Online Gaming", "Streaming Services", "Financial" und Co. tummeln sich einige bekannte Namen. Einschränkend ist allerdings anzumerken, dass sich die Credential-Ausbeute laut NordLocker auf fast eine Millionen Services und Plattformen "streut", von denen längst nicht alle so bekannt (und so stark betroffen) sind wie die hier genannten Beispiele. Zudem wurden die Daten offenbar innerhalb eines Zeitraums von rund zwei Jahren (und zwar vor 2021) gesammelt, so dass die Aktualität und Gültigkeit vieler Zugangsdatensätze fraglich sein dürfte.

Die Bezeichnung "Nameless Malware" verdeutlicht, dass es sich bei dem aktuellen Schadcode-Fund weder um einen Einzelfall noch um eine besonders raffinierte Schadcode-Spezies handelt. Tatsächlich betont NordLocker, dass Trojaner dieser Art auf einschlägigen Plattformen massenhaft und schon für etwa 100 US-Dollar zu haben seien; es handle sich um einen boomenden Markt.

Eher unspektakulär mutet auch der Verbreitungsweg der Schadsoftware an: Sie sei im Gepäck illegaler Software-Downloads wie etwa gecrackter Spiele, Adobe Photoshop 2018 und einem Windows-Cracking-Tool gereist, schreibt NordLocker. Doch gerade die Unscheinbarkeit solcher Malware, die in starkem Kontrast etwa zu den sehr "lauten", derzeit allgegenwärtigen Ransomware-Angriffen steht, sorge dafür, dass sie über einen langen Zeitraum eine unerkannte (und datensammelnde) Bedrohung darstelle, deren Entwickler häufig ungestraft davon kämen. (ovw)