In den letzten Wochen haben wir vermehrt beobachtet, dass sich eine gefährliche Variante schädlicher Malware in Form einer PDFPower.exe ausbreitet. Diese ausführbare Datei tarnt sich als vermeintlich ungefährlicher PDF-Converter, verbirgt jedoch im Hintergrund ihre bösartigen Absichten. Die Malware greift unautorisiert auf Systemeinstellungen, Gruppenrichtlinien und die Registry zu, um Browser-Einstellungen zu manipulieren und weitere schädliche Aktionen auf dem betroffenen System auszuführen.
Die Erkennung dieser Malware erfolgt größtenteils über den Microsoft Defender, der die folgende Detection-Meldung generiert: BrowserModifier:MSIL/MediaArena
Die Definition der „MediaArena“ wurde im Defender mit dem Update 1.389.986.0 am 11. Mai aktualisiert, wodurch die Erkennung seitdem effektiver geworden ist.
Funktionsweise der MediaArena-Malware:
Die PDFPower.exe steht in Verbindung mit dem unerwünschten Programm MediaArena, das wie eine Spyware funktioniert. Basierend auf unseren umfangreichen Analysen weist MediaArena Funktionen auf, die typischerweise in Spyware zu finden sind, darunter Bildschirmaufzeichnung und Keylogging. Ein Anzeichen für die Aktivität dieser Malware ist das unerwartete Öffnen der Webseite goto[.]searchpoweronline[.]com in Ihrem Webbrowser. Darüber hinaus ist MediaArena in der Lage, Screenshots zu erstellen und diese an einen Remote-Command-Server zu übertragen.
Ein weiterer besorgniserregender Aspekt sind die Veränderungen am Browser, die bei der Installation von MediaArena auftreten. Bei der Ausführung des Programms wird der Standardbrowser geöffnet und auf die Seite goto[.]searchpoweronline[.]com umgeleitet. Zudem ändert MediaArena die Standardsuchmaschine auf diese Seite, wodurch alle Suchanfragen möglicherweise an die Betreiber der Website weitergeleitet werden. Dies stellt eine weitere unerwünschte Eigenschaft des Programms dar. Darüber hinaus ist PDFPower.exe in der Lage, sich über Wechseldatenträger zu verbreiten, was für unwissende Benutzer, die versehentlich damit in Kontakt kommen, unangenehme Folgen haben kann.
Neben den bereits erwähnten Änderungen an der Standardsuchmaschine fügt die Malware auch Werbung auf allen von Ihnen besuchten Webseiten hinzu. Alle Eingaben werden an die Hacker hinter der PDFPower-Malware übermittelt, was zu einem potenziellen Datenschutzvorfall führen kann. Nahezu alle Ihre Aktivitäten werden mit einer dritten Partei geteilt.
Verbreitung und Infektion:
Diese Malware kann sich innerhalb kurzer Zeit in verschiedenen Umgebungen weit verbreiten. Durch forensische Beweise und Gespräche mit betroffenen Endbenutzern in verschiedenen Foren haben wir festgestellt, dass zumindest ein Teil der Infektionen auf eine laufende Malvertising-Kampagne zurückzuführen ist. Dabei wird Werbung mit Inhalten angezeigt, die mit der aktuellen Webseite in Verbindung stehen. Benutzer werden möglicherweise dazu verleitet, auf die Werbung zu klicken, wodurch das Tool heruntergeladen wird.
Die folgenden Programme stehen mit der MediaArena-Malware in Verbindung und sollten dringend von Ihren Geräten entfernt werden:
- Gifsearchutils
- Gifsmakerpro
- PdfHub
- PdfMagic
- PdfMagicApp
- PdfPower
- PdfShark
- Screensearchutils
- Screensrecorder
- Searcharchiver
- Searchpoweronline
- Searchtoolshub
- Sharksearchonline
- Ziplikeapro
- Ziplikeaproapp
- Ziprararchiver
Maßnahmen und Handlungsempfehlungen:
Wir möchten Sie darauf hinweisen, dass die von Defender ausgeführten Aktionen, wie beispielsweise das Verschieben in Quarantäne, eine Kompromittierung des Systems nicht ausschließen. Daher empfehlen wir dringend, bei Verdacht auf eine Kompromittierung, bei einer entsprechenden Meldung Ihrer Anti-Virus-Software oder bei anderweitig ungewöhnlichem Verhalten eine Überprüfung des betroffenen Systems durchzuführen.
Sollte sich herausstellen, dass ein oder mehrere Hosts tatsächlich kompromittiert sind, empfehlen wir, diese umgehend zu isolieren, um eine mögliche Ausbreitung der Malware über das Netzwerk zu verhindern.
Weitere Maßnahmen:
- Sperren der URL goto[.]searchpoweronline[.]com
- Einrichten eines Adblockers zur Blockierung unerwünschter Werbung
- Aktualisierung und Patching von Systemen und Software
- Verwendung von zuverlässigen Anti-Malware-Programmen und Firewalls
- Regelmäßige Durchführung von Backups wichtiger Daten
- Etablierung einer Multi-Faktor-Authentifizierung für erhöhte Sicherheit
- Sensibilisierung der Mitarbeiter für Phishing- und Social Engineering-Angriffe durch regelmäßige Schulungen
- Implementierung einer umfassenden Überwachungslösung zur Erkennung verdächtiger Aktivitäten
- Einrichtung eines effektiven Incident Response Plans zur schnellen Reaktion auf Sicherheitsvorfälle
Indem Sie weiterhin wachsam bleiben und diese Empfehlungen befolgen, können Sie die Sicherheit Ihrer IT-Infrastruktur verbessern und potenzielle Schäden durch die PDFPower.exe und die damit verbundene MediaArena-Malware minimieren.