Der neue Trick der Cyber-Schurken: Via E-Mail werden die User aufgefordert, über einen Link ihren WoW-Account zu aktualisieren. Dieser Link führt allerdings auf eine gefälschte Website, auf der sich ein Trojaner versteckt. Hier soll sich der Spieler wie gewohnt einloggen und diverse persönliche Angaben machen.

Die extreme Popularität des Online-Rollenspiels mit mehreren Millionen Usern weckt die Aufmerksamkeit von Spammer und Phisher. Die Log In-Funktionen, die genutzt werden, um auf den persönlichen Account zuzugreifen, sind dabei das Werkzeug der Cyberkriminellen. Denn die kürzlich gestartete Phishing-Kampagne nutzt in betrügerischer Weise insbesondere die visuelle Aufmachung der WoW-Website. Die gefälschte Log-In-Seite, die nach Betätigung des Spam-Links erscheint, sieht dem WoW-Original zum Verwechseln ähnlich. Die User loggen sich wie gewohnt ein und beantworten, ohne die Gefahr dahinter zu ahnen, alle Fragen (E-Mail-Adresse, Passwort, geheime Frage bei Vergessen des Passworts etc.), die angeblich zur Aktualisierung des Accounts notwendig sind.

Spammer locken mit WoW-„Reittieren“

Die entsprechenden Spam-Mails tragen den Betreff-Titel „Mounts Application Trial". Auf World of Warcraft-Kenner wirkt „Mounts“ wie ein Signalwort. Denn laut Spielebeschreibung handelt es sich dabei um spezielle Reittiere, die der Spieler käuflich erwerben kann, um sich in der Online-Welt schneller fort¬bewegen zu können. Die Spam-Mail offeriert per Antrag den freien Erwerb eines solchen virtuellen Reittieres – ein verlockender Köder also.

Um den Antrag zu stellen, müsse der User lediglich alle Fragen beantworten, die ihm nach Betätigung des Links gestellt werden. Hat er dies getan, bestätigt ihm die gefälschte Website sogar, dass der von ihm gestellte Antrag erfolgreich war. Statt eines neuen „Mounts“ bekommt der WoW-Spieler jedoch einen neuen Trojaner „geschenkt“. BitDefender identifizierte diesen als Trojan.PWS.OnlineGames.KDEU. Diese Malware geht folgendermaßen vor:

Zunächst erstellt sie mehrere autorun.inf-Dateien, die den Schädling bei jedem Systemneustart aktivieren. Anschließend wählt sie einen temporären Ordner auf dem befallenen PC, um dort mehrere Kopien von sich anzufertigen. Zudem erstellt der Trojaner eine .dll-Datei. Diese injiziert sich in den Speicherbereich des Explorer.exe-Prozesses. Sodann veranlasst sie den Diebstahl von Passwörtern verschiedener Online-Spiele. Nach dem Systemstart ist die Kopie des Trojaners durch einen neuen Registry-Eintrag unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run erkennbar. Das Original des Trojaners hingegen zerstört sich selbst und hinterlässt keine weiteren Spuren seiner Existenz.

Unter dem Link http://www.malwarecity.com/scan8/ können Anwender einen kostenlosen Virenscanner durchführen, um sicherzugehen, dass sich der WoW-Trojaner nicht bereits auf ihrem Rechner befindet. Um sich vor einem derartigen Angriff zu schützen, empfiehlt BitDefender zudem den Download und die Installation eines kompletten Antivirenprogramms mit Antivirus-, Antispam-, Antiphishing- und Firewall-Schutz.

Quelle: BitDefender