Anzeige

Malware

ESET hat die erste Malware-Kampagne enttarnt, die die am 27. August auf GitHub und Twitter veröffentlichte Zero-Day Schwachstelle für Microsoft Windows-Betriebssysteme ausnutzt. Hinter der Attacke steht die Gruppe PowerPool.

Die untersuchten Telemetrie-Daten und manuelle Uploads bei VirusTotal legen nahe, dass bislang nur wenige Nutzer den Gangstern in die Falle gingen. Da die Kampagne aber in mindestens neun Ländern aktiv war, könnte es sich nur um einen ersten Probelauf für eine gezielte Spionagekampagne handeln.

Die Malware nutzt eine Zero-Day-Schwachstelle, die kürzlich unkontrolliert bekannt gemacht wurde. Sie betrifft die Windows Betriebssysteme 7 bis 10 und ist bislang herstellerseitig nicht gepatcht. Der vom Twitter- und GitHub Account SandboxEscaper veröffentlichte Exploit, samt Source-Code für eine Proof-of-Concept Malware, stellt daher eine bedeutende Gefahr dar - umso mehr, weil jeder Hacker diesen Code nehmen und verändern kann, um eigene, verbesserte Attacken zu starten oder die Entdeckung schwieriger zu gestalten. Die Sicherheitslücke betrifft die ALPC-Funktion (Advanced Local Procedure Call) des Betriebssystems. Über sie werden Attacken möglich, deren Ziel das Erlangen von Administrator-/Systemrechten an einem infizierten PC ist. Diese Methode wird als Local Privilege Escalation bezeichnet.

Malware mit Systemrechten - der GAU

Die erste Attacke, in der der veröffentlichte Source-Code in leicht veränderter Form als Malware verwendet wurde, hat ESET nun enttarnt. Es dauerte offenbar gerade mal zwei Tage, bis die Gruppe namens PowerPool den Zero-Day-Exploit-Code für ihre Zwecke anpasste. Die Malware zielt auf eine Schwachstelle in der SchRpcSetSecurity API Funktion durch die jeder Nutzer Schreibrechte in jeder Datei erlangen kann, die unter C:\Windows\Task liegt. Durch die Auswahl geeigneter Dateien können Nutzer Malware-Code mit Admin-Rechten ausstatten - PowerPool entschied sich für die GoogleUpdate.exe, den legitimen Updater für Google-Anwendungen, der regelmäßig ausgeführt wird. Diese Datei wird mit einer Kopie der Malware überschrieben, so dass beim nächsten Aufruf der nun veränderten Datei der Schadcode mit den zugewiesenen Systemrechten ausgeführt wird.

"Die entdeckte Schwachstelle ist schwerwiegender, als es auf den ersten Blick scheint. Schaffen es Kriminelle, ihre Malware mit Systemrechten auszustatten, ist das als GAU zu bezeichnen", sagt Thomas Uhlemann, Security Specialist bei ESET.

Mehrstufige Attacke lässt Schlimmeres erwarten

Die Attacke beginnt derzeit mit schädlichen E-Mail-Anhängen, die Rechner infizieren. Nach dem erfolgreichen Angriff nutzt PowerPool zwei Backdoors - eine First-Stage Backdoor, die eine grundlegende Erkundung anstellt und Informationen an den C&C-Server der Cyberkriminellen schickt. Bei Rechnern, die interessante Ziele abgeben, kommt dann eine Second-Stage Backdoor zum Einsatz. Die Malware erstellt Screenshots und schickt diese den Cyberkriminellen zu. "Der aktuelle Exploit-Code ist nicht sehr ausgefeilt. Zum jetzigen Zeitpunkt ist es noch zu früh, um fundierte Aussagen über den Hintergrund der Schadcode-Entwickler zu treffen", erklärt Uhlemann. "Es ist nicht auszuschließen, dass es sich auch um eine schlecht umgesetzten eSpionage-Kampagne handeln könnte. Bisher liegen uns hierfür jedoch keine weiteren Indizien vor. Das heißt aber auch, dass wenn Microsoft die Lücke nicht am kommenden Patchday schließt, ein Restrisiko für Privatanwender und Unternehmen besteht, wenn die Malware-Autoren ihren Code weiter verbessern."

Weitere Informationen:

Diese Malware-Kampagne illustriert die Gefahren, die von unkontrolliert veröffentlichten Zero-Day-Exploits ausgehen können. Wie der Angriff genau ablief und was die Malware auszeichnet, erfahren Sie im Blogpost PowerPool Malware:

Windows Zero-Day Exploit durchleuchtet: https://www.welivesecurity.com/deutsch/2018/09/05/powerpool-malware-windows-zero-day-exploit-durchleuchtet

ESET-Nutzer sind vor der aktuellen PowerPool Kampagne auch ohne Microsoft Patch geschützt: "Der bisherige Angriff wurde von uns aufgedeckt und entsprechende Schutzmaßnahmen innerhalb unserer Sicherheitslösungen zur Abwehr bereitgestellt", erklärt Uhlemann.

www.ESET.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Corona virus

Neuer COVID-19 Phishing-Betrug

KnowBe4 hat eine neue Art von Phishing-Betrug entdeckt. Dabei werden Personen davor gewarnt, dass sie mit einem Freund/Kollegen/Familienmitglied in Kontakt gekommen sind, welches mit dem Coronavirus infiziert ist.
Phishing

Phishing-Mails mit Corona-Bezug – Cyberkriminelle attackieren Unternehmen

Cyberkriminelle nutzen die Nachrichtenlage rund um das Coronavirus, um Malware wie Backdoors oder Spyware zu verbreiten und damit speziell Unternehmen anzugreifen, wie aktuelle Kaspersky-Untersuchungen zeigen.
Cybercrime

Home Office und die Gefahr von RDP-Attacken

Die Verlagerung der Mitarbeiter in das Home Office ist eine große Herausforderung für viele Unternehmen, doch äußerst wichtig, um die Gesundheit der Angestellten vor der Corona-Pandemie zu schützen. Jedoch muss auch ein weiterer Schutz aufrecht erhalten…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!