VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Malware

Das letzte Jahr war durch eine Reihe prominenter Cyberangriffe und schwerwiegender Sicherheitslücken mit erheblichen Folgen gekennzeichnet. Manche der betroffenen Firmen kämpfen bis heute damit. Gleichzeitig etablierte sich Ransomware-as-a-Service (RaaS) als bequeme und leicht zugängliche Möglichkeit, Erpressungsangriffe zu lancieren.

Auch bei den dateilosen Angriffen ist die Entwicklung nicht stehen geblieben. Einst zuverlässige Methoden um Schadsoftware zu erkennen sind zunehmend wirkungslos. Ebenso wenig greifen sie bei polymorpher Malware. Die Palette der Opfer ist breit und private Unternehmen sind genauso betroffen wie Regierungen, Behörden oder wenn man so will die Grundfesten der Demokratie. Wenn beispielsweise wie bei den US-amerikanischen oder französischen Präsidentschaftswahlen passiert, Unmengen von Daten verloren gehen. 

Der vor kurzem veröffentlichte Threat Report von Cylance bestätigt diese Entwicklungen anhand von anonymisierten Bedrohungsdaten, die bei Kunden des Unternehmens erhoben wurden:

  • Im Durchschnitt verhinderte Cylance im Jahr 2017 3.918 Angriffe pro Unternehmen. Das entspricht einem Anstieg von 13,4% gegenüber dem Vorjahr.
  • Die beiden wichtigsten Infektionsvektoren sind demnach immer noch E-Mail- und Drive-by-Downloads.
  • Die größten Risiken sind Schäden an Systemen und der Verlust von Daten.
  • Ransomware-Angriffe haben sich im Laufe des Jahres 2017 verdreifacht und das in allen Branchen. 

Inzwischen kann praktisch jeder, der über Basiskenntnisse verfügt, gezielte Angriffe lancieren. Kommerzielle Malware, bösartige Skripts und neue Methoden machen es möglich.

Malware zum Einmal-Gebrauch und polymorphe Malware

Beide Formen, Single Use-Malware, also solche, die nur einziges Mal zum Einsatz kommt, und besonders zielgerichtete polymorphe Malware haben wesentlich zum Anstieg des Malware-Aufkommens im letzten Jahr beigetragen. Dieser Trend koexistiert mit dem weit verbreiteten Missverständnis, dass frei zugängliche Repositories von Malware-Signaturen ein vollständiges Verzeichnis von Malware „in the wild“ sind. Tatsächlich sind diese Signatur-Kataloge weder vollständig noch informieren sie zuverlässig darüber wie sich aktuelle Malware auswirkt. Vergleichbar den Common Vulnerabilities and Exposures, kurz CVE. Die CVE kommen zwar einer standardisierten Katalogisierung und Dokumentation von Hardware- und Softwareschwachstellen am nächsten. Vollständig sind auch sie nicht. CVE-Zuweisungen brauchen Zeit, meistens einige Tage oder auch länger. Im Umkehrschluss sollte man nicht davon ausgehen, dass eine Schwachstelle nur deshalb weniger gefährlich ist, weil sie nicht im CVE auftaucht. Gleiches gilt für eine Malware, die nicht in einem öffentlichen Repository zu finden ist.

Um dennoch möglichst lange unerkannt im System zu verbleiben nutzen Hacker bestimmte Einweg-, Host- oder Kampagnenspezifikationen. Tatsächlich dauert es oft Monate oder sogar Jahre bevor einzelne Komponenten aufgedeckt werden. Das ist dann meistens der Zeitpunkt zu dem sich Analysten und Experten mit dem Fall beschäftigen. Selbst mit einem bestätigten Anfangsverdacht ist es generell nicht einfach alle Bestandteile einer Kampagne aufzudecken. Dazu treffen Hacker bestimmte Vorsichtsmaßregeln, die eine Analyse erschweren oder am besten ganz verhindern sollen. Übrigens gilt das nicht nur für hoch spezialisierte zielgerichtete Angriffe, sondern ganz genauso für alltägliche Commodity-Malware. Einige dieser Techniken werden sogar in kostenlosen Packern und Cryptern eingesetzt.

Fazit: öffentliche Repositories sind keine verlässliche Quelle und manche Malware wird hier niemals auftauchen.

Auch an der Schwachstellenfront gibt es keine Entwarnung und selbst die Zahl der Angriffe über eher traditionelle Vektoren ist gestiegen. Dabei nutzen die Angreifer bereits bekannte Schwachstellen, die zum Teil bereits 9 Monate vor dem Angriff veröffentlicht wurden.

Auf breiter Ebene werden ältere Schwachstellen jetzt beispielsweise von Kryptowährungs-Mining-Malware ausgenutzt. Der Threat Report notiert beispielsweise im ersten Quartal 2018 einen deutlichen Aufwärtstrend beim Ausnutzen der Schwachstelle CVE-2017-10271 für den Zugang zu Webservern. Sogar dann noch, als der Proof-of-Concept für die betreffende Schwachstelle bereits veröffentlicht worden war. Kombiniert mit der Eternal Blue genannten Schwachstelle wurde daraus eine veritable Bedrohung. Die rasante und folgenschwere Ausbreitung von NotPetya und WannaCry hat ihrerseits die Probleme des Patch-Managements nur zu deutlich gemacht. Polymorphe Malware war für viele Unternehmen tatsächlich ein Weckruf. Sie ist zwar nicht neu, aber die schieren Dimensionen und die Fähigkeit sich rasant zu verbreiten, haben dazu geführt, dass viele Firmen ihre Sicherheitsstrategie überdacht haben.

Die Top 10 des vergangenen Jahres

1. WannaCry

Die Malware verschlüsselte die Systeme zahlreicher Unternehmen, die ihrerseits nicht in der Lage waren die Daten wieder zu entschlüsseln. Das führte zwangsläufig zu horrenden Datenverlusten. Die entstandenen finanziellen Verluste ließen sich direkt auf WannaCry zurückführen. Dazu kam der nicht unerhebliche Zeitaufwand, um die betroffenen Systeme wieder neu aufzusetzen. WannaCry tritt in einer überraschend großen Zahl von Varianten auf. Es gibt etliche Möglichkeiten und Stellen, an denen man den wurmartigen Charakter der Malware modifizieren kann. Es wurde dennoch kein Versuch beobachtet, die eigentliche Payload zu ersetzen oder grundlegende Fähigkeiten der Malware zu verändern. Die Variationsbreite hatte wohl in erster Linie das Ziel, eine möglichst große Hash-Varianz zu erzeugen und damit traditionelles Black Listing zu erschweren beziehungsweise zu verlangsamen.

Zwei Dinge allerdings haben die Prävalenz von WannaCry stark eingeschränkt. Zum einen wurde die Kill-Switch-Domäne entdeckt. Zum anderen war kurz vor WannaCry ein weiterer Malware-Stamm aufgetaucht: Adylkuzz, ein Bitcoin-Miner, der sich denselben SMB-Exploit nutze machte. Wobei Adylkuzz die Firewall-Einstellungen so verändert, dass Port 445 auf infizierten Systemen geschlossen wird und somit auch die Verbreitungsmöglichkeiten von WannaCry einschränkt wurden. Was den modularen Charakter von WannaCry anbelangt, so wird der zugrunde liegende Code offensichtlich auch anderswo verwendet. Dafür spricht die hohe Zahl verschiedener Komponenten. Sie unterscheiden sich zwar im Grad ihrer Komplexität, sind aber an sich vergleichsweise trivial und verwenden kaum Verschleierungstechniken. Dies sind ebenfalls Indizien dafür, dass der Code von verschiedenen Malware-Autoren erneut verwendet wurde. Insgesamt sollen mehrere hundert Varianten gefunden worden sein. Die überwiegende Mehrzahl unter ihnen sind allerdings manipulierte Versionen der ursprünglichen Malware, entwickelt um die Kill-Switch Domain zu verändern. Oder aber es handelt sich um Subkomponenten, die aus Festplatten- oder Speicher-Images extrahiert wurden. Das erzeugt bei gleicher Funktionalität unterschiedliche Hashwerte. WannaCry war nicht der erste und ist sicherlich nicht der letzte Angriff dieser Art. Komplexe Softwaresysteme sind nie frei von Fehlern.

2. Upatre

Upatre ist ein äußerst erfolgreicher Dropper/Downloader, der mit den beiden Bankentrojanern Dyre/Gozi in Verbindung steht. Gestohlen werden nicht nur Mitarbeiter- und Kundendaten, sondern es besteht ein erhöhtes Risiko für den Diebstahl von Identitäten. Upatre verbreitet sich über Malspam-Kampagnen per E-Mail und versteckt sich in einer angehängten Zip-Datei. Beim Ausführen der .scr oder exe. Datei durch den Benutzer wird ein Klon auf %TEMP% gesetzt und gestartet. Die Payload des Haupt-Bankingtrojaners wird anschließend von den Command and Control (C2)-Servern, in der Regel über HTTP, von einer Handvoll eingebetteter Domains oder IP-Adressen heruntergeladen. Bankentrojaner haben sich auf den Diebstahl von Finanzinformationen und persönlich identifizierbarer Daten spezialisiert. Die so erbeuteten Informationen – im Übrigen sowohl von Privatpersonen als auch von Firmen – werden dann auf dem Dark Market zum Kauf angeboten. Dabei hat es nicht nur finanzielle, sondern auch rechtliche Konsequenzen, wenn personenbezogenen Daten oder Kreditkarteninformationen offen gelegt werden.

3. Cerber

Cerber ist ein bösartiger Ransomware Distributed Denial-of-Service Bot, der sich in Audiogeräte einklinkt. Cerber nutzt RC4 und RSA-Algorithmen um Schattenkopien zu löschen sowie Dateien und Datenbanken zu verschlüsseln. Gelingt es nicht, die betroffenen Dateien zu entschlüsseln, sind die Daten dauerhaft verloren. Cerber identifiziert seine Opfer zusätzlich per Geo-Fingerprinting. Sind sie Einwohner eines der folgenden Länder, werden sie von einem Angriff verschont: Armenien, Aserbaidschan, Belarus, Georgien, Kirgisistan, Kasachstan, Moldawien, Russland, Turkmenistan, Tadschikistan, Ukraine oder Usbekistan.

Im Laufe der Jahre hat Cerber einige Techniken integriert, die helfen traditionelle Antivirenlösungen zu umgehen. So verwendet Cerber beispielsweise einen Hash Factory Server, bei dem der Hash alle 15 Sekunden zufällig generiert wird, verbirgt sich in verschlüsselten Dateien, verwendet ein NSIS-Plugin namens system.dll, um sich selbst in den Speicher zu laden oder einen benutzerdefinierten DLL-Decoder, um seinen Inhalt in den Speicher zu laden und zu entschlüsseln. Außerdem verfügt Cerber inzwischen über die Fähigkeit offline zu arbeiten. Cerber wird gelegentlich als Beispiel für eine dateilose Attacke herangezogen. Das ist nicht ganz zutreffend beziehungsweise hängt es vom Stadium des Angriffs ab. Neuere Kampagnen verlassen sich in der Tat auf unterschiedliche JavaSkript- oder PowerShell-Ebenen, um entweder Payloads direkt herunterzuladen und auszuführen oder die eigentliche Ausführung zu verzögern und die vollständige Payload zu einem bestimmten Zeitpunkt herunterzuladen beziehungsweise auszuführen. Die Payload unter mehreren Schichten verschleierter JavaScript- und PowerShell-Befehle zu verbergen, hilft, traditionelle Sicherheitslösungen zu umgehen.

4. Emotet

Emotet ist eine Variante der Feodo-Trojanerfamilie und stiehlt sensible Daten von Kunden und Mitarbeitern. Die Urform des betreffenden Bankentrojaners wurde schon im Jahr 2014 beobachtet. Emotet verbreitet sich überwiegend über Phishing-Mails, die entweder ein manipuliertes Dokument oder einen entsprechenden Link enthalten. Der Empfänger wird aufgefordert ein Microsoft Word Makro manuell zu aktivieren. Das Skript bedient sich verschiedener Verschleierungstechniken, die eigentliche Code-Basis aber ist identisch.

Der erste Schritt des Angriffs erfolgt in Form eines bösartigen Microsoft Word Dokuments. Es enthält ein Makro, das manuell aktiviert werden muss. Der verschleierte Code wird in den Eigenschaftskommentaren gespeichert, und das Makro enthält den Befehl ActiveDocument.BuiltInDocumentProperties, verborgen in Unmengen von Code-Müll. Das Skript benutzt PowerShell, um die Emotet-Malware herunterzuladen und certproc.exe auszuführen. Anschließend wird eine Kopie im Ordner \%AppData%\local\microsoft.exe angelegt, die dank der Registrierung persistent ist. Die Emotet-Malware durchsucht das infizierte System nach sensiblen Informationen. Sobald der Trojaner Informationen gefunden hat, die für den Angreifer von Interesse sind, überträgt er die Daten auf einen C2-Server.

5. Locky

Die Ransomware Locky war eine der erfolgreichsten überhaupt und forderte schon innerhalb der ersten Woche ihres Auftretens über 400.000 Opfer. In die Schlagzeilen geriet Locky darüber hinaus, weil die Ransomware besonders im Gesundheitswesen für erhebliche Probleme sorgte. Und weil für die Entschlüsselung der Dateien des Hollywood Presbyterian Medical Center das höchste offiziell genehmigte Lösegeld (17.000 US-Dollar in Bitcoin) gezahlt wurde. Übrigens nicht die einzige Institution, die zahlte. Eine Reihe anderer großer Kliniken entschloss sich ebenfalls zu diesem nicht unumstrittenen Schritt. Seit der ersten Angriffswelle sind etliche Varianten der Locky-Ransomware aufgetaucht, Zepto, Thor, Osiris und Diablo6, um nur einige zu nennen. Einige Locky-Kampagnen des Jahres 2016 haben sich bei einer Seite des Dridex-Buches zur Verteilung und Auslieferung von Malware bedient. Sie waren somit auf PowerShell-Skripte angewiesen, um die gesamte Payload herunterzuladen und auszuführen.

Die jüngste Locky-Neuerung ist eine der beliebtesten Methoden, um Malware zu verbreiten: Spear-Phishing-E-Mails. Der Angriff erfolgt in zwei Stufen. Die Spear-Phishing-E-Mail enthält ein beigefügtes Zip-Archiv. Darin befindet sich eine VBS-Datei gleichen Namens. Wenn das Opfer das Archiv dekomprimiert und auf die Datei klickt, läuft das VBS-Skript ab. Das Skript versucht, sich mit dem C2-Server zu verbinden und die y872ff2f-Datei herunterzuladen. In der zweiten Stufe wird die Payload im Ordner %AppData%/ Local/Temp unter einem anderen Namen abgespeichert (GlNPcFUJR.exe) und die Malware ausgeführt. Die Domain dbr663dnbssfrodison.net wurde am 1. August 2017 mit der E-Mail Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! erstellt. Die umgekehrte WhoIs-Suche ergibt, dass 333 Domains mit dieser E-Mail ab 2016 und zuletzt im Oktober 2017 registriert wurden. Einige dieser Domains sind dafür bekannt, auch von anderen Ransomware-Familien benutzt zu werden. 

6. Petya

Petya hat sich als eine hochwirksame Ransomware mit verschiedenen Varianten und ausgeklügelten Angriffsvektoren erwiesen. Sie wurde erstmals im März 2016 beobachtet und machte nicht zuletzt dank schlagzeilenträchtiger Ziele schnell Karriere. Die Grundvarianten sind bekannt für einen Bootloader, der die MFT verschlüsselt, einen Dropper, der den Bootloader installiert, und einen roten Totenkopf, der vor der eigentlichen Lösegeldforderung auf dem Bildschirm erscheint. Mittels MFT verschlüsselt Petya die gesamte Festplatte. Es sind allerdings auch Varianten aufgetaucht, die als konventionelle Lösegeldsoftware fungieren. Sie verschlüsseln Dateien und ausführbare Dateien im Benutzermodus, wenn Petya die Administratorrechte verweigert werden. Weitere Neuerungen bringt Goldeneye und zwar sowohl im Hinblick auf die Verschlüsselungsroutinen als auch hinsichtlich der Routinen, die zum Sperren der Festplatte dienen.

Während für Petya und andere Varianten Entschlüsselungstools entwickelt wurden, scheint Goldeneye bislang nicht entschlüsselbar zu sein. Eine weitere Variante, NotPetya, löscht die Daten des betreffenden Benutzers für immer. Dazu wird der zur Verschlüsselung verwendete öffentliche Schlüssel gelöscht. Im Juli 2017 veröffentlichte der Malware-Autor dann den privaten Schlüssel, über den ein Entschlüsselungswerkzeug für die Betroffenen zur Verfügung gestellt wurde.

7. Ramnit

Ramnit ist ein parasitärer Virus, der unter Windows PE ausführbare Dateien infiziert. Dazu kommt eine Wurmfunktion, die es dem Virus erlaubt, sich auf Wechselmedien zu verbreiten. Ramnit infiziert auch HTML-Dateien über injizierten VBS-Code. Benutzer, die auf diese HTML-Datei zugreifen, werden dann mit dem Virus infiziert. Ramnit ist als Banktrojaner konzipiert, und hat die Möglichkeit per Fernzugriff zu operieren. Im Februar 2015 gelang es den europäischen Behörden das Ramnit-Botnetz, das inzwischen 3,2 Millionen Computer infiziert hatte, abzuschalten. Trotzdem tauchte Ramnit im Dezember 2015 wieder auf. Neue Varianten richteten sich dann 2016 gezielt gegen britische Großbanken. Einige Ramnit-Kampagnen/Angriffe funktionieren wirklich dateilos, d.h. sie sind nicht darauf angewiesen PowerShell- oder JavaScript-Code-Bestandteile direkt auszuführen. Ramnit ist bekannt dafür, XOR-verschlüsselte Nutzdaten in der über SSL gezogenen Registry zu speichern. Der Loader-Thread ist dann in der Lage, den BLOB aus der Registry zu parsen, zu entschlüsseln und in diesem Stadium eine Injektion durchzuführen.

8. Fareit

Fareit (alias: Pony/Pony Loader) ist eine nicht mehr ganz neue, aber immer noch äußerst beliebte Malware. Fareit ist schon seit 2011 in verschiedenen Formen im Einsatz. Der Hauptzweck der Malware besteht darin, Anmeldeinformationen (Benutzername/Passwörter etc.) aus Anwendungen und Protokollen zu sammeln. Fareit unterstützt praktisch jede Client-Anwendung, darunter Chrome, Firefox und Thunderbird bis hin zu obskuren odere älteren Anwendungen wie bisonFTP, Incredimail und Flock. Daneben lässt sich Fareit benutzen um zusätzliche Malware aufzurufen und zu starten. Fareit ist aus verschiedenen Gründen so beliebt.

Das vergleichsweise einfache Werkzeug ist benutzerfreundlich, lässt sich vielseitig einsetzen und ist kostenlos erhältlich. Fareit besteht aus einer simplen Panel + Builder-Kombination. Um die Malware einzurichten braucht man nur wenig Fachwissen. Man platziert einfach die entsprechenden Konfigurationsdateien auf dem Webserver der Wahl. Sind MySQL, PHP oder andere Standards vorhanden, kann der Angreifer praktisch sofort loslegen.

Fareit wird dazu in erster Linie auf kompromittierten Servern gehostet/verwaltet, die ansonsten ganz legitim funktionieren. Das heißt, die Angreifer finden einen Weg, den Schreibzugriff auf das System des öffentlich zugänglichen Webservers (Exploits, etc.) zu bekommen und die Malware auf diesem Server so lange wie möglich zu hosten. Natürlich existieren auch dedizierte Hosts für Fareit/Pony. Es kommt aber weitaus häufiger vor, dass die Malware auf ansonsten sauberen/sicheren Hosts betrieben wird.
Im Laufe der Jahre sind verschiedene Cracks und Quellcode-Lecks in die Hände böswilliger Benutzer gefallen und betreffen praktisch jede Version. Was die Funktionalität anbelangt hat Fareit primär das Ziel, Anmeldeinformationen zu sammeln und die Daten anschließend zu verkaufen. Spätere Versionen sind in der Lage Login-Daten für Wallet-Services von Kryptowährungen und den Währungstausch zu stehlen. Dies gilt für die gängigsten Krypto-Währungen wie Bitcoin und Litecoin, aber auch für weniger verbreitete wie NovaCoin, Primecoin und Frankocoin.

Fareit hat sich als äußerst nützliches Werkzeug für frühe Angriffsphasen erwiesen. Langfristige Fareit-Kampagnen gehen in der Regel von weniger qualifizierten Akteuren aus. Setup und Konfiguration lassen sich automatisieren. Die Serverinstallation/-einrichtung und die Erstkonfiguration kommen praktisch ohne manuelle Eingriffe aus. Kenntnisse in der Entwicklung, einer Skriptsprache oder der Serverkonfiguration sind nicht nötig. Oft werden mehrere Instanzen von Fareit auf ein und demselben Host verwaltet und durch Arbeitsverzeichnisse getrennt. Fareit wird häufig in einem typischen Multi-Threat-Setup mit einem gebrauchsfertigen Phishing-Kit gehostet.
Fareit /Pony ist zwar nicht gerade die allerneueste Malware, aber sie ist nach wie vor beliebt und wird auf unterschiedlichen Ebenen eingesetzt. Etwa wird sie in gängige Exploit-Kits eingebunden. Beileibe nicht die schlechteste Eintrittskarte in ein Zielsystem.

9. PolyRansom

PolyRansom (auch unter dem Namen Virlock/Nabucur bekannt) stellt immer wieder aufs Neue unter Beweis, das diese Ransomware-Familie nicht nur eine der produktivsten und erfolgreichsten ist, sondern auch eine der komplexesten. PolyRansom, erstmals im Jahr 2014 beobachtet, ist in der Lage, ständig neue Kopien von sich selbst zu erstellen. Das erschwert den Analyse-/Reverse Engineering-Prozess erheblich.

Es ist sehr viel schwieriger Entschlüsselungswerkzeuge zu kodieren, denn die Verschlüsselungsmethoden der parasitären PolyRansom-Implementierung sind nicht konsistent. PolyRansom hat die Fähigkeit, kleinste Teile des Codes zu entschlüsseln, die an einem bestimmten Punkt benötigt werden. Nach Gebrauch und bevor die Routine fortgesetzt wird, werden diese Codeblöcke wieder verschlüsselt. Durch diese Wiederverschlüsselung des eigenen Codes verändert sich das ursprüngliche Binärbild.

Wie in jedem polymorphen Szenario entzieht sich die Ransomware problemlos einfachen Kontrollen und traditionellen signaturbasierten Ansätzen, insbesondere, wenn die Lösungen auf Basis von Hashwerten und Checksummen arbeiten oder auf cloudbasierte Lookups angewiesen sind. PolyRansom fügt einer Datei den eigenen Code in Form einer parasitären Komponente hinzu. Dann gibt die Ransomware ein ausführbares Paket/einen Wrapper aus, oft in Form einer direkt ausführbaren Datei oder eines selbstextrahierenden RAR. Danach sind die einzelnen Dateien im Wesentlichen handlungsfähige Kopien des ursprünglichen Infektors. Dadurch hat PolyRansom die Möglichkeit sich weiter zu verbreiten, ohne ein echter Wurm zu sein. Neben den standardisierten Ransomware-Funktionen integriert PolyRansom recht robuste Mechanismen um sich einer Analyse zu entziehen. Dazu gehören unter anderem zusätzliche Verpackungs- und Verschlüsselungs-Layer. Auch die eigentliche Verschlüsselungsroutine weist eine kleine Abweichung auf. Bei den meisten der beobachteten Kampagnen erfolgt die Verschlüsselung in zwei grundlegenden Schritten. Zunächst werden die Dateien über XOR + Rotate on Left(ROL) verschlüsselt, gefolgt von einer zusätzlichen XOR-Schicht. Virlock/PolyRansom wurde zum Beispiel mit Carbanak und anderen großen Kampagnen in Verbindung gebracht. 

10. Terdot/Zlader

Terdot wurde erstmals 2016 beobachtet und trat bis 2017 in verschiedenen Formen in Erscheinung. Der bekannte Bankentrojaner Zeus ist einer der Terdot-Erben. Der Quellcode war bereits 2011 durchgesickert. Das primäre Ziel: Datendiebstahl typischerweise bei Banken und anderen Finanzdienstleistern mithilfe des Zbot-Downloaders. Viele der beobachteten Varianten enthalten außerdem eine Backdoor-Funktion. Terdot verbreitet sich sowohl über manipulierte E-Mails als auch über gängige Exploit-Kits. Dabei ist die Zbot-Kombination besonders gefährlich, denn sie ist in der Lage SSL zu umgehen. Die Malware kann sich in den Browser injizieren und eigene, gefälschte SSL-Zertifikate verwenden, um Man-in-the-Middle-Browsersitzungen zu gestatten. Einige andere Varianten wurden Ende 2017 beim Manipulieren von Konten in sozialen Netzwerken beobachtet. Hier wurden nicht nur Daten geschürft, sondern Links zu ausführbaren Versionen von sich selbst veröffentlicht, um die weitere Verbreitung zu erleichtern.

www.cylance.com/de
 

GRID LIST
Hacker

Anstieg des CEO-Frauds beobachtet

Das Volumen von Phising-Nachrichten mit CEO-Fraud-Inhalt, die gemeldet wurden, hat sich…
Hacker Kamera

Zero‑Day‑Schwachstelle in Videoüberwachungs‑Software entdeckt

Mit der „Peekaboo” getauften Schwachstelle können Cyberkriminelle die Aufnahmen…
Hacker

Kryptomining-Malware in Kodi Add-ons enttarnt

Die Benutzer von Kodi sollten sich ihre installierten Zusatzprogramme nochmal ganz genau…
Hacker

Hacker-Gruppe LuckyMouse signiert Malware mit legitimem Zertifikat

Die Experten von Kaspersky Lab (GReAT) haben mehrere Infektionen eines bisher unbekannten…
Trojaner

Verbreitung von Mining-Trojanern für Windows und Linux

Im vergangenen Monat gerieten erneut Mining-Trojaner in das Visier der Virenanalysten von…
Schloss

Wie lassen sich falsche Webzertifikate ausstellen?

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in…
Smarte News aus der IT-Welt