PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

HackerUnit 42, das Malware-Forschungsteam von Palo Alto Networks, hat eine Angriffswelle der Downloader-Malware Nemucod, die Zugangsdaten stiehlt, entdeckt.

Die Angreifer nutzen hierbei mit Malware „bewaffnete“ Dokumente und stark verschleierten JavaScript-Code, um verschiedene Malware-Nutzlasten an Opfer in Unternehmen auszuliefern, insbesondere einen Credential-Stealing-Trojaner. Die Kampagne verdeutlich erneut die Attraktivität von Anmeldedaten für Angreifer, die diese stehlen und nutzen, um sich als legitime Benutzer auszugeben und wertvolle vertrauliche Daten auszuspionieren.

Einen Großteil der Malware haben die Cyberkriminellen in E-Mails verschickt (mit SMTP-, POP3- und IMAP-Anwendungen). Die E-Mail-Adressen der Empfänger variierten, aber viele scheinen auf der Grundlage von Linked-in-Account-Details erstellt worden zu sein. Weitere Spuren führten auch zu IP-Adressen in Moldawien und zu einem russischen Hosting-Service, offensichtlich ein Teil der von den Angreifern genutzten Infrastruktur. Daher ist es sehr wahrscheinlich, dass die Malware, die Angriffskampagnen und die Bedrohungsakteure ihren Ursprung in osteuropäischen Staaten haben.

In allen Versionen der bewaffneten Document-Dropper stießen die Forscher auf passwortgeschützten VBA-Code (Visual Basic for Applications). Die Angreifer nutzen diesen, um die Malware-Analyse zu behindern oder um Sicherheitslösungen zu täuschen, die diese Eigenschaft als Hinweis auf die Legitimität des Dokuments werten. Ebenso in allen Versionen fanden die Forscher eine stark verschleierte JScript-Nutzlast. Solche Verschleierung dient in erster Linie dazu, Signatur-basierte Erkennung zu vermeiden, aber hat wenig bis gar keine Auswirkungen auf dynamische Analyse-Sandbox-Systeme wie WildFire. Die Maßnahme sorgt aber immerhin für Verzögerungen bei der manuellen Analyse.

Bei der Analyse einer der von Nemucod installierten Payload-Dateien im Detail zeigte sich das Ausmaß der Fähigkeiten zum Stehlen von Zugangsdaten. Die Nutzlast erfasst verschiedene Betriebssysteme und Anwendungen, um so viele Anmeldeinformationen wie möglich zu ernten. Die Malware überprüft dann den Credential Cache, der in späteren Versionen von Windows verwendet wird und es allen integrierten Anwendungen in Windows Internet Explorer ermöglicht, Anmeldedaten automatisch zu speichern und zu verwenden.

Die Akteure hatten es auf gespeicherte Zugangsdaten in Web-Browsern wie Internet Explorer, Firefox, Chrome und Opera abgesehen sowie auf Zugangsdaten von E-Mail-Clients, insbesondere Outlook und Outlook Express. Die Malware sucht aber auch nach anderen installierten Mail-Clients, darunter Mozilla Thunderbird, Windows Mail und Windows Live Mail, um noch mehr Zugangsdaten zu ernten.

Die Malware sucht auch nach verschiedenen Softwareanwendungen, die über SSH (Secure Shell), FTP (File Transfer Protocol) und HTTP (Hypertext Transfer Protocol) kommunizieren. Diese Protokolle werden häufig für die Fernverwaltung von Systemen oder zum Übertragen von Dateien zwischen Systemen verwendet. Ziel ist es, alle gespeicherten Zugangsdaten sowie System-Hostnamen und IP-Adressen zu erfassen, um sich im fremden Netzwerk bewegen und dieses weiter auskundschaften zu können.

Insgesamt fällt bei dieser Angriffskampagne auf, dass die Akteure immer wieder die ausgelieferten Dokumente, Verschleierungstechniken und Social-Engineering-Methoden ändern, um mehr Opfer zu erreichen oder länger unentdeckt zu bleiben.

www.paloaltonetworks.com
 

GRID LIST
Chris Brennan

Der Fall Equifax zeigt Anfälligkeit von Unternehmen für Cyberkriminalität | Kommentar

Eine Schwachstelle in der IT öffnete bei der US-Wirtschaftsauskunftei Equifax Unbekannten…
 KRACK WLAN Spionage

KRACK WLAN-Sicherheitslücke bedroht vor allem Unternehmen

Seit Montag ist die Sicherheitslücke KRACK in der WPA2-Verschlüsselung bei…
Tb W190 H80 Crop Int 8c5f1d966d2eef8ccec63f1c2e1e49df

RAT: Hackers Door wird privat weiter verkauft

Der Remote Access Trojaner (RAT) „Hackers Door“ hat schon vor einiger Zeit von sich reden…
Tb W190 H80 Crop Int B043d8113264a1ebb208c5eeb5e5daec

KrackAttack: Was Sie jetzt wissen sollten

Die Erfinder des Wi-Fi hatten die aktuellen Sicherheitsprobleme nicht im Blick, als sie…
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet