Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Malware Script 667595752 500

Die Sicherheitsexperten von Kaspersky Lab haben Angriffe aufgedeckt, die mittels einer Zero-Day-Schwachstelle in der Desktop-App des Messenger-Dienstes Telegram erfolgen. Dabei kommt eine neuartige multifunktional einsatzbare Malware zum Einsatz, die je nach Typ des befallenen Rechners entweder als Backdoor oder als Tool zur Auslieferung von Mining-Software fungiert. 

Die Schwachstelle wurde bereits seit März 2017 aktiv für das Mining von Kryptowährungen eingesetzt, beispielsweise zur Generierung von Monero- oder Zcash-Einheiten.

Bereits heute sind Messenger-Dienste unter deutschen Jugendlichen die häufigste Kontaktform zu Freunden. Welche Folgen ein Cyberangriff auf Messanger haben kann, zeigte der unlängst enttarnte mobile Spyware-Trojaner Skygofree, der in der Lage war, WhatsApp-Mitteilungen abzufangen. Nun haben die Kaspersky-Experten eine weitere, bislang unbekannte Schwachstelle in der Desktop-Version des Messengers Telegram ausfindig gemacht. Die Sicherheitslücke wird bereits für Angriffe „in the wild“ ausgenutzt.

„Instant Messenger sind sehr beliebt. Daher ist es äußerst wichtig, dass Software-Entwickler ihre Kunden adäquat schützen und es den Cyberkriminellen nicht allzu leicht machen“, sagt Alexey Firsh, Malware Analyst Targeted Attacks Research bei Kaspersky Lab. „Für den aktuellen Zero-Day-Exploit haben wir unterschiedliche Szenarien ausgemacht. Neben konventioneller Malware und Spyware wurde darüber auch Mining-Software auf die befallenen Rechner gespielt. Das entspricht einem weltweiten Trend, den wir bereits im vergangenen Jahr feststellen konnten. Wir glauben aber, dass diese Zero-Day-Schwachstelle noch anderweitig genutzt wurde.“

Zero-Day-Schwachstelle mit gravierenden Folgen

Die Zero-Day-Schwachstelle basiert auf der RLO (right-to-left override) Unicode-Methode. Diese Methode wird normalerweise bei Sprachen wie Arabisch oder Hebräisch, die von rechts nach links geschrieben werden, genutzt. Malware-Entwickler nutzen dies auch, um Anwender zum Download schädlicher Dateien zu verleiten, die zum Beispiel als Bilddateien getarnt werden.

Über ein verborgenes Unicode-Zeichen im Dateinamen verdrehten die Angreifer die Reihenfolge der Zeichen und gaben so der Datei einen neuen Namen. Letztlich führte das zum Download verborgener Malware, welche anschließend auf dem Rechner installiert wurde. Kaspersky Lab hat Telegram über die Schwachstelle informiert. Seitdem wurde die Lücke in den Messenger-Produkten bis zum Zeitpunkt dieser Veröffentlichung nicht mehr entdeckt.

Die Experten von Kaspersky Lab stellten im Zuge ihrer Analyse fest, dass die Zero-Day-Schwachstelle von den Bedrohungsakteuren „in the wild“ ausgenutzt wurde. Zum einen wurden die Betroffenen durch eine Mining-Malware geschädigt. Denn mit der Rechnerleistung der befallenen PCs konnten die Cyberkriminellen Einheiten von verschiedenen Kryptowährungen wie Monero, Zcash und Fantomcoin minen. Außerdem stellten die Cybersicherheitsexperten bei der Untersuchung der Server eines Bedrohungsakteurs fest, dass auch der lokale Telegram-Cache von den Rechnern der Opfer gestohlen wurde.

Zum anderen wurde nach Befall eine Backdoor installiert, welche die Programmierschnittstelle (API) von Telegram als Command-and-Control-Protokoll verwendete. Damit bekamen Hacker Fernzugriff auf die Rechner ihrer Opfer. Die Malware agierte nach ihrer Installation unbemerkt, so dass der Bedrohungsakteur im Netzwerk nicht identifiziert wurde und verschiedene Kommandos ausführen konnte – unter anderem zur Installation weiterer Spyware-Tools.

Bei der Untersuchung wurden Artefakte gefunden, die auf einen russischen Hintergrund der Cyberkriminellen schließen lassen.

kaspersky.com/de

GRID LIST
Hacker Zug

Visual und Audible Hacking im Zug – eine unterschätzte Gefahr

Was nützt die beste Firewall oder die ausgefeilteste IT-Sicherheitsschulung, wenn…
Tb W190 H80 Crop Int 0f5cc7f2c0b98f58e1eb57da645ab116

Facebook greift Banken mit digitaler Weltwährung an

Ihrer Zeit voraus zu sein und auf der grünen Wiese radikal neue Geschäftsmodelle zu…
Bluekeep

Wird Bluekeep zu WannaCry 2.0?

Vor etwas mehr als einem Monat entdeckte Microsoft die Sicherheitslücke Bluekeep, die die…
Tb W190 H80 Crop Int 73b50202d2bf2dd564a0e650dc77f891

Ethical Hackers - Wenn Cyberkriminelle die Seiten wechseln

Unternehmen stehen ständig vor der Herausforderung, mit der wachsenden…
Tb W190 H80 Crop Int Fa64704bbd86b88fc4d177ea01590e6c

Erste Bilanz zu den Trends und Entwicklungen 2019

Cyberkriminalität beschäftigt Unternehmen branchenübergreifend mehr denn je. Ende letzten…
Social Engineering Marionetten

Sicherheitslücke Mensch: Social Engineering nimmt weiter zu

Cyberkriminalität ist eines der größten Probleme in der vernetzten Welt – auch weil viele…