[Update] Neuer Trojaner hackt Authenticator-Accounts

Fachleute warnen schon immer wieder davor, doch kaum jemand nimmt die Bedrohung ernst. Viren, Trojaner und Würmer sind seit Ewigkeiten ein Problem und es gibt wohl kaum einen WoW-Spieler, der nicht schon einmal einen dieser kleinen Gäste auf seinem PC hatte.

Bisher versprach zumindest der Authenticator-Token Sicherheit für die persönlichen Daten, doch wie es scheint, wurde nun der erste Trojaner entdeckt, der auch diese Schutzmaßnahme umgeht. Die Vorgehensweise ist simpel, denn er nutzt die bekannte Man-in-the-Middle-Methode, um einen legalen Key zu erhalten. Ihr erhaltet lediglich eine einfache Fehlermeldung, dass ihr euren Key falsch eingegeben habt, doch währenddessen wird mit dem aktuellen Schlüssel des Tokens euer Passwort geändert und euer Charakter ausgeräumt.

Zitat von: Kropacius (Quelle)
After looking into this, it has been escalated, but it is a Man in the Middle attack.

This is still perpetrated by key loggers, and no method is always 100% secure.

Der Trojaner selbst ist in der emcor.dll-Datei unter C:\Benutzer\(Name)\AppData\Temp versteckt und wird von jedem gängigen Antivirus-Programm entdeckt. Bestätigt wurde der Hack im offiziellen Forum durch Kropacius, einem Mitarbeiter des technischen Supports bei Blizzard.

Auch wenn nun Authenticator-Accounts das Ziel eines Hacks geworden sind, so ist dies kein Argument gegen die kleinen Token. Noch immer sind geschützten Accounts zu 99,9% sicher – solange ihr einen aktuellen Antivirus-Scanner habt.

Update 11:10 Uhr
Scheinbar wurde mittlerweile auch die Quelle des Trojaners gefunden. Scheinbar steckt hinter diesem Schädling ein Netzwerk aus 14 Webseiten, die über WoW-Addons den Trojaner verteilen. Diese Fake-Websites wie cursea.com, deadlybossmodss.com oder wowmatrixf.com sind Eigentum einer chinesischen Firma namens Xin Net Technology Corporation und ist seit 2006 eine einschlägig bekannte Firma, die weltweit Spam und Schädlinge verteilt.

Bei Google selbst scheinen die problematischen Websites mittlerweile zum Großteil aus dem Verkehr gezogen zu sein, ihr solltet jedoch trotzdem einen Scan über euren PC laufen lassen, falls ihr zuletzt auf eine dieser Seiten besucht habt.