Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Cybercrime Totenkopf 725880445 500

Netscout Arbor hat kürzlich Lojack-Agenten entdeckt, die bösartige Command-and-Control (C2s)-Domänen enthalten. Die missbräuchliche Nutzung der Lojack-Software steht wahrscheinlich in Zusammenhang mit der Hackergruppe Fancy Bear, auch als APT28 und Pawn Storm bekannt. 

Die InfoSec-Community und die US-Regierung haben die Aktivitäten von Fancy Bear der russischen Spionage zugeschrieben. Die Hackergruppe wählt typischerweise geopolitische Ziele, wie Regierungen und internationale Organisationen – oder Branchen, die mit solchen Organisationen Geschäfte machen, wie etwa Rüstungsunternehmen.

Lojack, früher bekannt als Computrace, ist eine legitime Laptop-Wiederherstellungslösung, die Unternehmen etwa im Falle eines Diebstahls einsetzen. Die Software kann Geräte remote verschlüsseln, sperren und Dateien löschen. Lojack ist für Angreifer attraktiv, da die Software legal ist und gleichzeitig die Ausführung von Remote-Code ermöglicht. Der Verteilungsmechanismus für die bösartigen Lojack-Samples bleibt bisher unbekannt. Allerdings verwendet Fancy Bear häufig Phishing, um Malware-Payloads bereitzustellen, wie es bei Sedupload Ende 2017 der Fall war.

Viele Antiviren-Hersteller kennzeichnen Lojack-Executables nicht als bösartig, sondern als „not-a-virus“ oder „Risk Tool“. Bei niedriger AV-Erkennung hat der Angreifer nun eine ausführbare Datei, die sich im Klartext versteckt, und damit einen Doppelagenten. Der Angreifer muss lediglich einen Rogue-C2-Server aufsetzen, der die Lojack-Kommunikationsprotokolle simuliert. Schließlich erlaubt der „kleine Agent“ von Lojack das Lesen und Schreiben des Speichers, was ihm eine Remote-Backdoor-Funktionalität ermöglicht, wenn er mit einem Rogue-C2-Server gekoppelt ist.

ASERT empfiehlt, mit Hilfe der nachstehend aufgeführten Yara-Signatur nach betrügerischen Lojack-Agenten zu suchen:

Appendix: Yara Signature

rule ComputraceAgent

{

meta:

description = "Absolute Computrace Agent Executable"

thread_level = 3

in_the_wild = true

strings:

$a = {D1 E0 F5 8B 4D 0C 83 D1 00 8B EC FF 33 83 C3 04}

$mz = {4d 5a}

$b1 = {72 70 63 6E 65 74 70 2E 65 78 65 00 72 70 63 6E 65 74 70 00}

$b2 = {54 61 67 49 64 00}

condition:

($mz at 0 ) and ($a or ($b1 and $b2))

}

 

https://asert.arbornetworks.com/lojack-becomes-a-double-agent/

netscout.com

 

GRID LIST
Whatsapp Hacker

Woran uns der Whatsapp-Hack erinnert

Nur selten bekommt der gemeine Nutzer oder die Öffentlichkeit mit, wenn ein raffinierter…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

Phishing-Attacken bei WordPress & eBay

Derzeit finden wieder besonders perfide Phishing-Attacken statt – im Visier von…
WannaCry

Aktuelle Sicherheitslücke bei Microsoft - Ein WannaCry Deja-vu?

Die Sicherheitslücke, die Microsoft am Dienstag bekannt gegeben hat, ist groß.…
Apple-Geräte

Apple-Geräte erlauben Datenklau und stürzen ab

Ein internationales Forscherteam unter Beteiligung der TU Darmstadt hat Sicherheits- und…
Hacker

Plead Malware attackiert Asus Cloud-Speicherdienst

ESET-Forscher haben eine neue Form des Schadprogramms Plead entdeckt. Dieser manipuliert…
Meltdown

YAM: Neue Meltdown-artige Schwachstelle

Meltdown und Spectre machten im Januar 2018 Schlagzeilen: Sicherheitslücken in…