Gelingt es Cyberkriminellen, ihre Malware auf fremden Rechnern einzuschleusen, nutzen sie dies mitunter aus, um sie zum Teil eines Botnets zu machen. Über ihre Server steuern sie die kompromittierten Computer und nutzen ihre Ressourcen – etwa zum weiteren Verteilen von Schadsoftware, Versand von Phishing-Mails oder für DDoS-Angriffe.

Auch das Botnet Dridex wurde für bösartige Zwecke ins Leben gerufen. Es ist darauf spezialisiert, Online-Banking-Daten auszuspähen und Überweisungen zu manipulieren. Opfer waren in der Vergangenheit etwa auch schon Kunden deutscher Banken. Sicherheitsexperten des Antivirenherstellers Avira haben allerdings eine kuriose Entdeckung gemacht.

Whitehat-Aktion vermutet

Anstelle von Malware bringt Dridex derzeit die Antivirensoftware des Unternehmens in Umlauf, berichtet Golem. Die Installationspakete statten die Zielrechner mit der Gratisversion des Avira Antivirus aus und sind laut dem Unternehmen auch korrekt signiert, also keine manipulierten Kopien.

Warum dies der Fall ist, darüber herrscht Rätselraten. Avira hält es für möglich, dass ein Whitehat-Hacker es geschafft hat, die Kontrolle über einen Teil des Botnets zu übernehmen und die darüber verteilten Trojaner nun mit der Antivirenlösung ersetzt hat. Eine zweite Theorie sieht die Auslieferung der Sicherheitssoftware als eine Art Verwirrungsmanöver, was man bei Avira jedoch für unwahrscheinlich hält.

Teures Botnet

Dridex hat bereits eine längere Geschichte und nach Schätzungen des FBI bereits einen Schaden in zweistelliger Millionenhöhe verursacht, wie Heise schreibt. Im Oktober war das Netzwerk nach der Festnahme eines Betreibers schon einmal abgeschalten worden, ging bald darauf aber wieder in Betrieb. (gpi, 05.02.2016)