img_panda-security-01
Ein vermeintlich pikantes Privatvideo vom brasilianischen Fußballspieler Neymar da Silva Santos und seiner Freundin Bruna Marquezine wird aktuell im Internet verbreitet. Pikant ist das Video tatsächlich, aber nicht weil es, wie suggeriert wird, private Aufnahmen des Paares zeigt, sondern, weil es nur als Köder verwendet wird, um Malware in die Systeme von Computer-Nutzern einzuschleusen.

In den vergangenen Wochen beherrschte Neymar da Silva Santos aus vielerlei Gründen die Schlagzeilen: Es gab großen Wirbel um seinen Transfer vom FC Santos zum FC Barcelona. Im Kern ging es dabei um die Frage, ob sein neuer Verein falsche Angaben über die Ablösesumme des Brasilianers gemacht hat. Neben diesen Unregelmäßigkeiten, die zu Ermittlungen wegen Unterschlagung und dem Rücktritt des Präsidenten des Fußballclubs, Sandro Rosell, führten, kursierte eine weitere Meldung zu Neymar in den Medien, die seine Beziehung zu Bruna Marquezine betraf. So gab es Gerüchte über eine Trennung des Fußballers und seiner Model-Freundin, die aber beide öffentlich abgestritten haben.

Und nun verbreiten sich auch noch gefälschte E-Mail-Nachrichten im Netz mit dem Betreff „Privates Video von Neymar und Bruna Marquezine zeigt alles!“. Ein in der Mail enthaltener Link soll zum vermeintlichen Video führen. Der Name der entsprechenden Datei lautet: Video_Intimo.zip, once opened it contains a file called Video_Intimo.cpl.

Sobald die Datei ausgeführt wird, öffnet sich eine Webseite mit dem Hinweis, dass die Seite wegen Wartungsarbeiten vorübergehend nicht erreichbar ist und das Video aktuell nicht abgespielt werden kann. In der Zwischenzeit werden im Hintergrund Verbindungen zu verschiedenen URLs hergestellt, mit dem Zweck Malware herunterzuladen und auf dem Opfer-PC zu installieren. Dabei handelt es sich um einen Banking-Trojaner mit der Bezeichnung Trj/Banker.LDW, der Zugangsdaten und weitere sensible Informationen von Online-Banking-Kunden stiehlt. Der Schädling ist in der Lage, alles zu erfassen, was in den Computer eingetippt wird sowie Screenshots zu erstellen, wenn der User den Internet Explorer nutzt.

Um sicherzustellen, dass der Trojaner bei jedem Neustart des Computers ausgeführt wird, werden gleich zwei verschiedene Dateien heruntergeladen sowie ein Registry-Eintrag (GForce Update Monitor) erstellt. Das Schadprogramm kopiert sich selbst mit einem zufällig generierten Namen innerhalb des Ordners GForce.Cmp. Die Bezeichnung GForce wurde in diesem Fall gewählt, um einen Bezug zu Nvidia, einem der größten Entwickler von Grafikprozessoren und Chipsätzen für PCs und Spielkonsolen, herzustellen und Vertrauen beim Benutzer zu schaffen.