VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Spam BotDas Malware-Analyseteam von Palo Alto Networks, Unit 42, hat ungewöhnlich clevere Spam-Bot-Aktivitäten entdeckt. Dabei versuchen die Akteure, die Effektivität der Spam-Verbreitung durch den Missbrauch von Reputation-Blacklist-Service-APIs zu erhöhen.

So prüft das Bot allgemein verfügbare Blacklists, um sicherzustellen, dass die E-Mails tatsächlich ausgeliefert werden. Wenn dies nicht der Fall ist, schaltet es sich selbst ab. Dieses Spam-Bot, häufig mittels der Andromeda-Malware heruntergeladen, hat Palo Alto Networks bei der Verbreitung von Spam in der pharmazeutischen Industrie beobachtet. Microsoft verweist auf diese Familie von Malware unter dem Namen Sarvdap. Unit 42 hat keinen anderen öffentlichen Namen für diese Malware identifiziert. Anstatt einen neuen Namen einzuführen, wird daher auf diese Familie ebenfalls als Sarvdap verwiesen.

Die Malware verwendet hartcodierte Adressen für Funktionsnamen und Zeichenfolgen. Bei der ersten Ausführung hinterlässt die Malware eine Kopie von sich selbst im Opfersystem, stößt einen neuen svchost.exe-Prozess (ein Host-Prozess in Windows, der Dienste mit Hilfe von DLL-Dateien ausführt) an, initialisiert sich, indem sie sich Speicher zuweist, injiziert den Bot-Code in diesen Prozess und prüft, ob es Debugger gibt, um sich einer Analyse zu entziehen. Sobald diese Phase beendet ist, versucht die Malware, eine Verbindung zu www.microsoft.com herzustellen. Stellt die Malware fest, dass sie sich nicht auf einem Blacklist-Host befindet, meldet sie sich bei ihrem Command&Control-Server (C2). Wenn der C2 online ist und der Host die RBL-Prüfungen (Real-time Blacklist) passiert hat, lädt die Malware eine Konfigurationsdatei herunter und verwendet diese Informationen, um Felder in zahlreichen Datenstrukturen zu füllen.

Was diese Malware interessant macht, ist, dass sie eine hartcodierte Liste von allgemein bekannten Blacklist-Servern enthält. Diese Server zur Überprüfung infizierter Hosts/Zombies verwendet, um zu bestimmen, ob eine Infektion live ist. Die Blacklists, die überprüft werden, stammen aus der ganzen Welt und sind ziemlich umfassend, was darauf hinweist, dass der Autor versucht, globale Abdeckung erzielen wollte und sich nicht nur auf eine bestimmte Region beschränkt. Die Funktion „GetHostByName“ wird für jede Blacklist-URL aufgerufen, um zu sehen, ob die IP-Adresse auf der Blacklist steht. Ist dies der Fall, kommt ein Host-Name zurück anstelle der IP-Adresse. Wenn die IP nicht auf der Blacklist steht, sendet die Malware das OK an den Server. Wenn die Malware jedoch feststellt, dass sie sich auf einem Blacklist-Host befindet, wird der Prozess beendet.

Phishing-E-Mails sind nach wie vor eine weit verbreitete Bedrohung für Unternehmen, Behörden und private Nutzer. Große, Spam-fokussierte Botnets, die sich mieten lassen, versenden von kompromittierten Hosts aus Hunderttausende solcher Nachrichten pro Tag. Sarvdap ist hierbei besonders interessant, aber nicht wegen seiner Grüße, sondern aufgrund seiner Versuche, das Volumen der Spam-Verbreitung durch Missbrauch von Reputation Blacklists gezielt zu erhöhen.

Kunden von Palo Alto Networks sind durch Threat Prevention und WildFire vor dieser Malware-Familie geschützt. AutoFocus-Kunden können sie über den Sarvdap-Tag verfolgen.

www.paloaltonetworks.com

GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt