Dubiose Angebote für YouTube-Zusammenarbeit.
rainway.cloud: Ein Kooperationsangebot, dass mit Vorsicht zu genießen ist.
Das Angebot von Rainway
Zuerst bekommen wir eine E-Mail, dass der Dienst eine Zusammenarbeit wünscht. Wir fragen mal zurück und bekommen ein Angebot. Das liest sich nicht schlecht, selbst für kleine Kanäle gibt es ordentlich Geld.
Dazu gibt es einen Mustervertrag, ein paar vermeintliche Screenshots und einen Link, unter welchem wir die Software herunterladen können.
Das echte Rainway
Rainway war ein legitimer Cloud-Gaming-Dienst, der es Nutzern ermöglichte, PC-Spiele auf andere Geräte zu streamen. Die offizielle Webseite des Dienstes war rainway.com.
Besonders beliebt war Rainway für seine einfache Handhabung und die Möglichkeit, Spiele ohne zusätzliche Hardware auf Smartphones, Tablets oder sogar im Webbrowser zu spielen.
Der Dienst wurde über mehrere Jahre hinweg aktiv weiterentwickelt, bis er schließlich eingestellt wurde. Leider nutzen Betrüger den bekannten Namen, um mit gefälschten Kooperationsangeboten Schadsoftware zu verbreiten. Daher ist besondere Vorsicht geboten, wenn dubiose E-Mails oder Webseiten mit dem Namen „Rainway“ auftauchen.
Der Download
Wir schauen uns die Sache mal etwas genauer an. Auf der Webseite gibt es nicht viel mehr als den Download, was schonmal sehr verdächtig ist.
Als Download gibt es eine ZIP-Datei, welche wir entpacken. Es kommt ein Installer zum Vorschain, welchen wir in VirusTotal werfen.
Immerhin erkennen 5 Virenscanner die Sache als verdächtig. Nicht viel, wenn man bedenkt, dass der eigene Scanner meist nicht dabei sein wird, wenn man das Ding startet.
Wir führen den Installer in einer virtuellen Maschine aus
Wir sind etwas neugierig und starten den Installer. Natürlich in einer gesicherten Umgebung einer virtuellen Maschine.
Windows warnt direkt beim Start vor einem fehlenden Zertifikat. Auch das ist bereits höchst verdächtig.
Der Installer selbst gibt sich anschließend unverdächtig. Irgendwas wird installiert.
Beim Start kommt jedoch nur eine Fehlermeldung. Irgendwas funktioniert nicht, zwar können wir weiter machen, aber es erscheint nur ein leeres Fenster.
Analyse von Dateien
Im Programmverzeichnis finden wir erstmal nichts verdächtiges. Einige Dateien sind signiert, mal von Rainway, mal von AOMEI. Ein wenig haben wir hier den Verdacht, dass hier ein bestehendes Setup verwendet wurde, um eine gute Tarnung zu haben.
