Fieser neuer Malware-Trick greift Nutzer an, die zu schnell tippen

Pass lieber auf, wenn du das nächste Mal schon im Halbschlaf Netflix ansurfen möchtest—ein winziger Tippfehler in der URL kann dich direkt in die Arme von Angreifern treiben und dir lästige Malware auf dem Computer installieren.

Das Team der Sicherheitsfirma Endgame hat eine besonders perfide Taktik aufgemacht: Die Top Level Domain .om—eigentlich für Websites aus dem Oman reserviert—wird esit einigen Wochen systematisch dazu benutzt, URLs zu registrieren, die die sich vertippenden Nutzer abfangen sollen. Ob Youtube.om, Amazonc.om oder Ebay.om—all diese Adressen existieren möglicherweise nur, um Schadsoftware zu verteilen.

Die Sicherheitsforscher kamen der Masche nur zufällig auf die Spur: Ein Mitarbeiter der Firma Endgame entdeckte die Malware-Schleuder, als er sich beim Aufruf von Netflix vertippte und das c in .com vergaß: Sofort wurde sein Browser mehrfach quer durchs Internet weitergeleitet, bis er auf einer halbseidenen Flash-Updater-Seite landete. Hätte er nicht die seltsame Groß- und Kleinschreibung in den penetranten Popups erkannt und den vermeintlichen Installationsdialog bestätigt, hätte er sich direkt einen Virus oder eine andere Malware eingefangen—von denen übrigens nicht nur PC-Nutzer, sondern auch Mac-User betroffen sein können.

Dass hinter der Kampagne tatsächlich eine koordinierte Aktion steckt, lässt sich durch einen Whois-Abgleich der Registraturen erkennen. Einem gewissen Hassan Jaafar gehören beispielsweise 80 Domains wie gmail.om oder youtubec.om—allerdings, betonen die Sicherheitsforscher, kann ein solcher Name auch sehr leicht durch Abfragemängel bei der Registrierung gefälscht werden; zudem lässt sich auch keine direkte Verbindung dieser Seiten zu der Malware-Falle bestätigen.

Und so funktioniert die Attacke: Jemand mit zweifelhaften Absichten registriert einfach Domains, die sehr ähnlich wie die legitime Domain klingen, aber vielleicht den ein oder anderen Buchstabendreher enthalten; also zum Beispiel Amazno.com oder Ebax.com. Das soganennte Typosquatting löst dabei ein großes Problem der Angreifer, nämlich die Lieferung des schädlichen Programms auf deine Festplatte. Beim Typosquatting tauchen die Nutzer einfach von selbst auf.

Auch der Oman selbst stellte sich nicht als ein Hort für Virenbastler heraus, wie eine Aufschlüsselung der Hosting-Länder aller untersuchten .om-Domains größerer international Firmen zeigt:

111 der falschen Domains führen somit zu einer US Firma namens Tiggee LLC, weitere Cluster fanden sich in Casablanca und Kroatien.

Missbrauch der Top-Level-Domains .cm und .co ist diversen Maltwareteams bereits bekannt. Doch die systematische Ausnutzung von .om-Domains, um sich vertippende Nutzer abzustrafen, ist neu: Die meisten dieser Domains wurden erst im Februar 2016 angemeldet. Betroffen sind so gut wie alle globalen Unternehmen, nur wenige, wie zum Beispiel bbc.om, scheinen legitim zu sein.

An dieser Stelle ist eine komplette Liste der .om-Domains zu finden, die verdächtig erscheinen.

Die gute Nachricht: Offenbar hat die Veröffentlichung der betrügerischen Praxis schon erste Früchte getragen und eine abschreckende Wirkung entfaltet: Nachdem Endgame ihren ausführlichen Bericht über die .om-Domains veröffentlichten, schienen bereits viele der fragwürdigen Seiten vom Netz genommen zu sein.

Wer selbst überlegt, eine URL zu registrieren, kann mit dem hilfreichen Tool Domain Typo Finder leicht herausfinden, welche potentiellen Vertipper bereits besetzt sind—und gegebenenfalls als prophylaktische Sicherheitsmaßnahme alle übrigen potentiellen Buchstabendreher-Adressen selbst registrieren, um dort Redirects auf die eigene Seite einzurichten.