Etliche Spieler des Online-Rollenspiels World of Warcraft (WoW) sehen sich derzeit mit einer besonderen »Quest« konfrontiert. Die Angreifer, gegen die es in den Kampf zu ziehen gilt, attackieren die Gamer allerdings von außen – mit ausgefeilten Spam- und Phishing-Kampagnen, wie Virenschutz-Experte Bitdefender herausfand.

Online-Gamer sind längst ins Visier von Cybergangstern geraten. Wie bereits berichtet, versuchen Kriminelle mit alle nur erdenklichen Tricks, an die Account-Daten von Nutzern von World of Warcraft zu kommen, um diese zu kapern und dann weiterzuverkaufen.

Einen neuen Trick hat die IT-Security-Firma Bitdefender entdeckt: Via E-Mail werden die User aufgefordert, über einen Internet-Link ihren WoW-Account zu »aktualisieren«. Dieser Link führt allerdings auf eine gefälschte Website, auf der sich ein Trojaner befindet.

Die gefälschte Log-in-Seite, die nach Anklicken des Spam-Links erscheint, sieht dem WoW-Original zum Verwechseln ähnlich. Arglose User loggen sich wie gewohnt ein. Anschließend werden Daten abgefragt, etwa die E-Mail-Adresse des Users, sein Passwort sowie die Kontrollfrage, die beim Zusenden eines vergessenen Passworts zu beantworten ist.

Spammer locken mit WoW-»Reittieren«

In der Betreffzeile der entsprechenden Spam-E-Mails steht »Mounts Application Trial«. Für World-of Warcraft-Kenner ist »Mounts« quasi ein Signalwort. Denn laut Spielebeschreibung handelt es sich dabei um spezielle Reittiere, die der Spieler erwerben kann, um sich in der Online-Welt schneller fortbewegen zu können.

Die Spam-Nachricht lockt mit dem kostenlosen Erwerb eines solchen virtuellen Reittieres. Dazu muss der User allerdings online einen »Antrag« stellen.

Der besteht darin, dass der User die Fragen beantwortet, die ihm auf der gefälschten Web-Seite gestellt werden. Hat das Opfer brav alle Angaben gemacht, bestätigt ihm die gefälschte Website sogar, dass der von ihm gestellte Antrag erfolgreich war.

Trojaner statt Reittier

Statt eines neuen »Mounts« bekommt der Nutzer jedoch einen neuen Trojaner »geschenkt«. Bitdefender identifizierte diesen als Trojan.PWS.OnlineGames.KDEU.

Diese Malware geht folgendermaßen vor: Zunächst erstellt sie mehrere autorun.inf-Dateien, die den Schädling bei jedem Systemneustart aktivieren. Anschließend wählt sie einen temporären Ordner auf dem befallenen PC, um dort mehrere Kopien von sich anzufertigen.

Zudem erzeugt der Trojaner eine .dll-Datei. Diese injiziert sich in den Speicherbereich des Explorer.exe-Prozesses. Sodann veranlasst sie den Diebstahl von Passwörtern verschiedener Online-Spiele.

Kostenloser Online-Virenscanner

Nach dem Systemstart ist die Kopie des Trojaners durch einen neuen Registry-Eintrag unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run erkennbar. Das Original des Trojaners hingegen zerstört sich selbst und hinterlässt keine Spuren.

Unter dem Link http://www.malwarecity.com/scan8/ können Anwender einen kostenlosen Virenscan durchführen, um sicherzugehen, dass sich der WoW-Trojaner nicht auf ihrem Rechner befindet. Um sich vor einem derartigen Angriff zu schützen, empfiehlt Bitdefender zudem den Download und die Installation eines kompletten Antivirenprogramms mit Antivirus-, Antispam-, Antiphishing- und Firewall-Schutz.

Lesen Sie mehr zum Thema

Weitere Artikel zu BitDefender GmbH

Ronaldo-Malvertising für Binance

Aktuelle Kampagnen mit Fake-Ads für Kryptowährungen

Bitdefender Labs: Gefahr durch RedCurl

Ransomware attackiert Hypervisoren

7 Trends für IT-Sicherheitsdienstleister

Wenn sich die Hacker neu aufstellen, kann das der Channel auch

Mutmaßlich nordkoreanischer Hintergrund

Fake-Jobangebote für Software-Entwickler auf LinkedIn

Supply-Chain-Angriffe aufgedeckt

Kompromittierte Word-Dokumenten gegen Behörden eingesetzt