Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Malware

ESET hat die erste Malware-Kampagne enttarnt, die die am 27. August auf GitHub und Twitter veröffentlichte Zero-Day Schwachstelle für Microsoft Windows-Betriebssysteme ausnutzt. Hinter der Attacke steht die Gruppe PowerPool.

Die untersuchten Telemetrie-Daten und manuelle Uploads bei VirusTotal legen nahe, dass bislang nur wenige Nutzer den Gangstern in die Falle gingen. Da die Kampagne aber in mindestens neun Ländern aktiv war, könnte es sich nur um einen ersten Probelauf für eine gezielte Spionagekampagne handeln.

Die Malware nutzt eine Zero-Day-Schwachstelle, die kürzlich unkontrolliert bekannt gemacht wurde. Sie betrifft die Windows Betriebssysteme 7 bis 10 und ist bislang herstellerseitig nicht gepatcht. Der vom Twitter- und GitHub Account SandboxEscaper veröffentlichte Exploit, samt Source-Code für eine Proof-of-Concept Malware, stellt daher eine bedeutende Gefahr dar - umso mehr, weil jeder Hacker diesen Code nehmen und verändern kann, um eigene, verbesserte Attacken zu starten oder die Entdeckung schwieriger zu gestalten. Die Sicherheitslücke betrifft die ALPC-Funktion (Advanced Local Procedure Call) des Betriebssystems. Über sie werden Attacken möglich, deren Ziel das Erlangen von Administrator-/Systemrechten an einem infizierten PC ist. Diese Methode wird als Local Privilege Escalation bezeichnet.

Malware mit Systemrechten - der GAU

Die erste Attacke, in der der veröffentlichte Source-Code in leicht veränderter Form als Malware verwendet wurde, hat ESET nun enttarnt. Es dauerte offenbar gerade mal zwei Tage, bis die Gruppe namens PowerPool den Zero-Day-Exploit-Code für ihre Zwecke anpasste. Die Malware zielt auf eine Schwachstelle in der SchRpcSetSecurity API Funktion durch die jeder Nutzer Schreibrechte in jeder Datei erlangen kann, die unter C:\Windows\Task liegt. Durch die Auswahl geeigneter Dateien können Nutzer Malware-Code mit Admin-Rechten ausstatten - PowerPool entschied sich für die GoogleUpdate.exe, den legitimen Updater für Google-Anwendungen, der regelmäßig ausgeführt wird. Diese Datei wird mit einer Kopie der Malware überschrieben, so dass beim nächsten Aufruf der nun veränderten Datei der Schadcode mit den zugewiesenen Systemrechten ausgeführt wird.

"Die entdeckte Schwachstelle ist schwerwiegender, als es auf den ersten Blick scheint. Schaffen es Kriminelle, ihre Malware mit Systemrechten auszustatten, ist das als GAU zu bezeichnen", sagt Thomas Uhlemann, Security Specialist bei ESET.

Mehrstufige Attacke lässt Schlimmeres erwarten

Die Attacke beginnt derzeit mit schädlichen E-Mail-Anhängen, die Rechner infizieren. Nach dem erfolgreichen Angriff nutzt PowerPool zwei Backdoors - eine First-Stage Backdoor, die eine grundlegende Erkundung anstellt und Informationen an den C&C-Server der Cyberkriminellen schickt. Bei Rechnern, die interessante Ziele abgeben, kommt dann eine Second-Stage Backdoor zum Einsatz. Die Malware erstellt Screenshots und schickt diese den Cyberkriminellen zu. "Der aktuelle Exploit-Code ist nicht sehr ausgefeilt. Zum jetzigen Zeitpunkt ist es noch zu früh, um fundierte Aussagen über den Hintergrund der Schadcode-Entwickler zu treffen", erklärt Uhlemann. "Es ist nicht auszuschließen, dass es sich auch um eine schlecht umgesetzten eSpionage-Kampagne handeln könnte. Bisher liegen uns hierfür jedoch keine weiteren Indizien vor. Das heißt aber auch, dass wenn Microsoft die Lücke nicht am kommenden Patchday schließt, ein Restrisiko für Privatanwender und Unternehmen besteht, wenn die Malware-Autoren ihren Code weiter verbessern."

Weitere Informationen:

Diese Malware-Kampagne illustriert die Gefahren, die von unkontrolliert veröffentlichten Zero-Day-Exploits ausgehen können. Wie der Angriff genau ablief und was die Malware auszeichnet, erfahren Sie im Blogpost PowerPool Malware:

Windows Zero-Day Exploit durchleuchtet: https://www.welivesecurity.com/deutsch/2018/09/05/powerpool-malware-windows-zero-day-exploit-durchleuchtet

ESET-Nutzer sind vor der aktuellen PowerPool Kampagne auch ohne Microsoft Patch geschützt: "Der bisherige Angriff wurde von uns aufgedeckt und entsprechende Schutzmaßnahmen innerhalb unserer Sicherheitslösungen zur Abwehr bereitgestellt", erklärt Uhlemann.

www.ESET.de
 

GRID LIST
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Phishing kann auch kleine Unternehmen treffen

Kürzlich wurde bekannt, dass sich diverse Restaurants sogenanntem „Dynamit-Phishing“…
Tb W190 H80 Crop Int 02a732366428f0b008fcb6021edc948f

Warum sich die Welt bereits im Cyberwar befindet

Obwohl einige Experten wie der Politikwissenschaftler Thomas Rid glauben, dass ein…
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…