From Russia with love – Warnung vor gefälschten Seiten mit Red BIOS Editor und MorePowerTool!

16. Juni 2021 06:41

Nachdem mich jetzt bereits der zweite Hinweis auf gefälschte Seiten mit unseren Inhalten erreicht hat, die zudem auch zum Verlust diverser Wallets und damit auch der darin enthaltenen Kryptowährungen geführt hat, war ich in der Zwischenzeit nicht untätig. Leider endete diesmal jegliche Kooperation an der russischen Grenze und so muss ich letztendlich den Weg über die Öffentlichkeit gehen, um zumindest eine Warnung auszusprechen, wenn man schon am Umstand leider nichts ändern kann.

Unter der Domain red-bios-editor.eu ist eine gefakte Seite erreichbar, die neben den bei uns herauskopierten Inhalten ein Download unseres Tools vortäuscht, auf das mittlerweile wohl auch einige hereingefallen sind. Leider zeigen Seiten wie Bing oder Yandex diese Webseite ziemlich präsent als Suchergebnis für den RBE an, so dass sicher nicht wenige Seitenaufrufe auf diese Weise zustanden gekommen sein dürften. Das Perfide ist jedoch die darüber verteilte Datei. Hier handelt es sich um ein Repack unseres Tools, das jedoch mit einem professionellen Keylogger versehen wurde (Injection).

Ich habe mich mehrmals an der Registrar gewandt, der jedoch auf seine Nichtzuständigkeit hinwies, da die Domain über diverse Reseller verkauft wurde und die Hürden für eine Abschaltung ziemlich hoch lägen. Auch die Kontaktaufnahme zum Hoster war erfolglos, da man dort erst einmal keinerlei Rechtsverstöße sieht und man für eine Abschaltung des Servers eine richterliche Anordnung benötige. Weitere Anfragen hat man sich dann höflich verbeten. Die Bundesnetzagentur sieht ebenfalls keinerlei Zuständigkeiten.

Ich kann nur noch einmal darauf hinweisen, dass die Original-Software nur von unserer Seite aus geladen werden darf und dass jegliche Versuche, die Tools für kriminelle Zwecke zu missbrauchen nur dann wirkungslos bleiben, wenn man sich an genau diese Regeln hält. Es adelt zwar das Programm in gewisser Weise, aber auf so eine Ehre kann wohl jeder Programmierer gern verzichten.

12 Antworten

Zeige alle Kommentare an

Kommentar

Lade neue Kommentare

ipat66

Urgestein

1,355 Kommentare 1,355 Likes

#1 Jun 16, 2021

Ich bin aus ökologischen Gründen gegen diese Art von Wertschöpfung.
Trotzdem ist die kriminelle Energie hinter diesen Vorgängen beachtlich.

Man sollte nie Downloads von unbekannten Seiten starten.Es gibt doch genug
bekannte und sichere Seiten,auf die man sich auch beschränken sollte.

Außerdem sollte man jeden Download nochmals mit seinem aktuellen Virenscanner
überprüfen.
Vor allem wenn man sensible Daten (Onlinebanking,Persönliche Daten,Professionelle
Arbeitsunterlagen,Wallets,...) auf seinem PC hat.

Haben diese betroffenen Personen keinen Virenscanner oder war dieser Keylogger
(Injection) so ausgefeilt,dass der Scan ohne Ergebnis durchlief?

Antwort Gefällt mir

Igor Wallossek

10,185 Kommentare 18,779 Likes

#2 Jun 16, 2021

Ich habe das Fake-Tool mittlerweile bereits an die üblichen Scanner-Anbieter geschickt. Und nein, bei ersten Mal lief es auch bei mir in der VM ohne Warnung. Putins Staatstrojaner :D

Antwort 3 Likes

Igor Wallossek

10,185 Kommentare 18,779 Likes

#3 Jun 16, 2021

Hier ist das Wallet des abschöpfenden Hackers:

View image at the forums

Address 0xd3fd0eaed72f621a9edb6fd3bee5a81325f8b288 | Etherscan

The Address 0xd3fd0eaed72f621a9edb6fd3bee5a81325f8b288 page allows users to view transactions, balances, token holdings and transfers of ERC-20, ERC-721 and ERC-1155 (NFT) tokens, and analytics.

View image at the forums

etherscan.io

Scheint sich langsam zu lohnen, auch wenn es im Einzelnen nur Kleckerbeträge sind

Antwort Gefällt mir

Klicke zum Ausklappem

konkretor

Veteran

297 Kommentare 300 Likes

#4 Jun 16, 2021

Guten Morgen Lieber Igor,

so etwas ist mehr als ärgerlich. Die Datei an die Hersteller zu schicken ist eine sehr gute Idee gewesen.

Ich würde die Seite auch noch dem Google Team melden

Google Safe Browsing: Report a Malware Page

Ich würde dir vorschlagen die HASH Summen der Datei mit aufzuführen

Beispiel SHA256

fe3ea0f6838fde1a2d4b93907d250a75ba237aebb76da218fb95faf6726b247d RBE_Setup.exe

Beispiel hier von Cisco, somit können die Benutzer prüfen ob die Datei auch passt.
Anders bezweifle ich, dass die Leute die es getroffen hat den Hash Wert überprüfen.

View image at the forums

Antwort 2 Likes

amd64

1,103 Kommentare 670 Likes

#5 Jun 16, 2021

Das würde etwas Sicherheit bringen, sofern die Leute das auch kontrollieren. Im oben genannten Fall wird es aber nicht helfen, da die Usern einfach auf das erste Ergebnis klicken.

Das einzige was den unbedarften Usern helfen könnte, ist die Löschung des Eintrags. Dazu muss die Seite aber gemeldet werden und das nicht nur 1x :

View image at the forums

Antwort 3 Likes

[

[wege]mini

Mitglied

32 Kommentare 13 Likes

#6 Jun 16, 2021

Was für einen einzelnen ja auch richtig leicht ist.

Dann könnte ich ja auch behaupten, wirklich vernünftig wäre nur die Anzeige von Microsoft, durch tausende Menschen, bei internationalen Behörden, auf Grunde von Unterstützung einer kriminellen Vereinigung in Russland.

MS hat shyce gebaut und ihren Algorithmus so mies programmiert, dass er sich missbrauchen lies. Super, und jetzt?

Igor hat sein bestmögliches getan.

mfg

Antwort Gefällt mir

Derfnam

Urgestein

7,517 Kommentare 2,029 Likes

#7 Jun 16, 2021

Es ist fast schon überraschend, dass es keine chinesische Seite ist.

Antwort Gefällt mir

goch

Veteran

471 Kommentare 181 Likes

#8 Jun 16, 2021

Vielleichten tarnen sich die Chinesen auch nur ganz intelligent ;)

Antwort Gefällt mir

konkretor

Veteran

297 Kommentare 300 Likes

#9 Jun 16, 2021

Hab den ganzen kram an TrendMicro geschickt in ein zwei Tagen dürfte das in den Scannern sein inklusive der URL

Antwort 2 Likes

RedF

Urgestein

4,657 Kommentare 2,550 Likes

#10 Jun 16, 2021

Finde es bei Google garnicht mehr.

View image at the forums

Antwort 3 Likes

amd64

1,103 Kommentare 670 Likes

#11 Jun 17, 2021

Schau an, auf Bing ist die .eu Domain jetzt auf Rang 2.

Antwort Gefällt mir

My-konos

Veteran

270 Kommentare 91 Likes

#12 Jun 18, 2021

Bing ist eh etwas... Naja... Nennen wir es mal stumpf.

Frage wäre ja, ob Übersetzungen in andere Sprachen ebenfalls angezeigt werden.

Antwort Gefällt mir

Alle Kommentare lesen unter igor´sLAB Community →

Danke für die Spende

Du fandest, der Beitrag war interessant und möchtest uns unterstützen? Klasse!

Hier erfährst Du, wie: Hier spenden.

Hier kannst Du per PayPal spenden.

NVIDIA NULL und Reflex vs. AMD Anti-Lag und Radeon Boost – was ist besser? Latenzen in der Praxis!

Leser-Test zweier GPU-Wasserblöcke: Alphacoool Eisblock Aurora Acetal GPX-A vs. Aquacomputer Kryographics Next | Community

About the author

View All Posts

Igor Wallossek

Chefredakteur und Namensgeber von igor'sLAB als inhaltlichem Nachfolger von Tom's Hardware Deutschland, deren Lizenz im Juni 2019 zurückgegeben wurde, um den qualitativen Ansprüchen der Webinhalte und Herausforderungen der neuen Medien wie z.B. YouTube mit einem eigenen Kanal besser gerecht werden zu können.

Computer-Nerd seit 1983, Audio-Freak seit 1979 und seit über 50 Jahren so ziemlich offen für alles, was einen Stecker oder einen Akku hat.

Folge Igor auf:
YouTube Facebook Instagram Twitter