Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

TrojanerWährend einer Analyse des gefährlichen Banking-Trojaners ,Lurk‘ ist Kaspersky Lab auf eine perfide Methode gestoßen, über die Cyberkriminelle schädliche Software zielgerichtet auf Unternehmensrechner installieren können. 

Vorsicht vor blindem Cyber-Passagier 

Beim Download der legitimen und bei Systemadministratoren beliebten Fernwartungssoftware ,Ammyy Admin‘ wurde heimlich die Lurk-Malware mitgeliefert und installiert. Die Lurk-Gang wurde im Juni 2016 in Russland festgenommen. Den Cyberkriminellen wird vorgeworfen, 45 Millionen US-Dollar von Banken, Finanzinstituten und anderen Organisationen gestohlen zu haben.

Die Experten von Kaspersky Lab stellten jetzt fest, dass sich der Lurk-Trojaner beim Download des bei IT-Administratoren beliebten Fernzugriffstool Ammyy Admin mit einschleuste. Die Absicht dahinter: Obwohl einige IT-Sicherheitslösungen remotefähige Tools als gefährlich einstufen, neigen Nutzer beziehungsweise Systemadministratoren dazu, die entsprechende Warnmeldung zu ignorieren, weil sie von einer False-Positive-Meldung ausgehen. Das Gefährliche dabei: Im Fall von Lurk wird unbemerkt Malware auf ein System geladen und installiert – trotz Warnmeldung.

„Die Nutzung legitimer Software ist eine sehr effektive Technik, um Malware zu verbreiten“, sagt Vasily Berdnikov, Malware Analyst bei Kaspersky Lab. „Dadurch erwecken Cyberkriminelle beim Nutzer den Anschein, dass es sich hierbei um legitime und daher sichere Software handle. Wer Software von einem bekannten Anbieter herunterlädt und installiert, denkt nicht daran, dass ein blinder Cyber-Passagierdabei sein könnte. Cyberkriminelle erleichtern mit dieser Methode den Zugang zu ihren Zielen und erhöhen die Anzahl der Opfer.“

Zielgerichtete Verbreitung

Kaspersky Lab geht davon aus, dass der Lurk-Trojaner seit Februar 2016 über die Webseite ammyy.com verbreitet wurde. Die Angreifer haben wohl Schwachpunkte im Sicherheitssystem der Ammyy-Admin-Webseite ausgenutzt und die Malware ins Installationsarchiv des Fernzugriffprogramms geschmuggelt. Die Webseitenbetreiber wurden von Kaspersky Lab direkt nach der Entdeckung davon in Kenntnis gesetzt; die Schwachstelle wurde anschließend sofort behoben.

Im April 2016 wurde eine weitere Version des Lurk-Trojaners auf der Ammyy-Webseite entdeckt. Diese leicht veränderte Version des Schädlings war in der Lage, automatisch zu prüfen, ob ein Computer zu einem Unternehmensnetzwerk gehört. Der Schädling wurde nur ausgeliefert, wenn es sich tatsächlich um einen Firmenrechner handelte, also sehr zielgerichtet.

Am 1. Juni 2016 entdeckten die Experten von Kaspersky Lab noch einen Trojaner mit dem Namen ,Fareit‘, der auf der Webseite implantiert wurde. Der Schädling sollte persönliche Nutzerinformationen entwenden. Kaspersky Lab hat auch hierzu die Betreiber umgehend informiert. Das Problem ist in der Zwischenzeit behoben worden.

Kaspersky Lab: Sicherheitsvorkehrungen

Um derartige Cyberrisiken zu verhindern, sollten IT-Dienstleister ihre Organisation regelmäßig auf mögliche Schwachstellen überprüfen, immer im Verbund mit dem Einsatz einer IT-Sicherheitslösung wie Kaspersky Endpoint Security for Business sowie Cybersicherheitsschulungen ihrer Mitarbeiter – zum Beispiel mittels den Kaspersky Security Intelligence Services.

Die Kaspersky-Lösungen entdecken und blockieren die Trojaner unter den Namen „Trojan-Spy.Win32.Lurk“ und „Trojan-PSW.Win32.Fareit“.

Weitere Informationen:

  • Der Blogbeitrag „Lurk: A danger where you least expect it“ ist hier abrufbar.
  • Weitere Informationen über die Funktionalität von Lurk sind hier verfügbar.
     
GRID LIST
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Vogel fängt Wurm

Die Rückkehr des Wurms

Vectra erwartet vermehrt Angriffe mit Würmern, Datendiebstahl in der Cloud und einen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security