Anzeige

Anzeige

VERANSTALTUNGEN

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

DIGITAL FUTUREcongress
05.11.19 - 05.11.19
In Essen, Halle 8 im Congress Center Ost

Anzeige

Anzeige

Malware

Kaspersky-Forscher haben mit „Reductor“ eine neue Malware entdeckt, die in die Interaktion von Opfern mit HTTPS-Webseiten eingreift, indem sie den Pseudozufallszahlengenerator manipuliert, mit dem die verschlüsselte Kommunikation zwischen dem Nutzer und der Website hergestellt wird.

Zusammen mit der Installation von falschen digitalen Zertifikaten können die Malware-Akteure so die Browseraktivität von Nutzern ausspionieren.

Zwar steht das „S“ in HTTPS für „Sicher“ und Informationen, die zwischen Browser und Webseite ausgetauscht werden, sollten nicht für Dritte zugänglich sein, jedoch können hochqualifizierte Hacker-Gruppen in diesen Prozess eingreifen. Die Malware Reductor wurde als Tool für eine derartige Cyberspionage auf diplomatische Organisationen der Gemeinschaft Unabhängiger Staaten (GUS) unter anderem zur Überwachung des Internetverkehrs der Mitarbeiter eingesetzt. Darüber hinaus verfügen die gefundenen Module über RAT-Funktionen (Remote Administration Tool) und die Fähigkeiten dieser Malware sind nahezu unbegrenzt.

Reductor besteht aus zwei Hauptangriffsvektoren, von denen einer Module über COMPfun-Malware herunterlädt, die zuvor dem russischsprachigen Bedrohungsakteur Turla zugeschrieben wurden. Über den zweiten Vektor haben die Angreifer die Möglichkeit, die Software direkt während des Herunterladens aus legitimen Quellen auf den Opfer-Computer mit schädlichen Inhalten zu versehen. Die Software-Installer werden von Warez-Websites heruntergeladen, die kostenlose Downloads von Raubkopien anbieten. Zwar sind diese Installationsprogramme ursprünglich nicht mit Malware kompromittiert, sie jedoch mit Schadcode versehen auf den Opfer-Computer gelangen. Kaspersky-Forschern kamen zu dem Schluss, dass die Manipulation während des Downloads erfolgt und Betreiber von Reductor eine gewisse Kontrolle über das Netzwerk des Ziels haben..

Sobald Reductor auf dem Computer ist, manipuliert er die installierten digitalen Zertifikate und manipuliert damit die Pseudozufallszahlengeneratoren des Browsers, mit denen der Datenverkehr vom Nutzer zu den HTTPS-Webseiten hin verschlüsselt wird. Um die Opfer zu identifizieren, deren Datenverkehr überwacht wird, fügen die Cyberkriminellen eindeutige hard- und softwarebasierte Kennungen hinzu und markieren sie mit bestimmten Zahlen in einem nicht mehr zufälligen Zahlengenerator. Sobald der Browser auf dem infizierten Gerät manipuliert ist, erhält der Angreifer alle Informationen und Aktionen, die mit diesem Browser ausgeführt werden – ohne dass das Opfer etwas bemerkt.

„Wir haben noch nie gesehen, dass Malware-Entwickler auf diese Weise mit der Browserverschlüsselung interagieren“, zeigt sich Kurt Baumgartner, Sicherheitsforscher im Global Research and Analysis Team von Kaspersky, verblüfft. „Es ist in gewisser Weise elegant und ermöglichte es den Angreifern, lange unentdeckt zu bleiben. Die Komplexität der Angriffsmethode legt nahe, dass die Entwickler von Reductor-Malware hochprofessionell sind – was unter staatlich unterstützten Akteuren durchaus üblich ist. Wir konnten jedoch keine soliden technischen Hinweise finden, um die Malware einem bekannten Bedrohungsakteur zuordnen zu können. Wir fordern alle Organisationen, die mit sensiblen Daten zu tun haben, dringend dazu auf, wachsam zu bleiben und regelmäßig gründliche Sicherheitskontrollen durchzuführen.“

Produkte von Kaspersky erkennen und blockieren Reductor-Malware erfolgreich.

Kaspersky-Schutzempfehlungen

  • Regelmäßig Sicherheitsüberprüfung der IT-Infrastruktur des Unternehmens durchführen.
     
  • Bewährte Sicherheitslösungen mit Web-Threat-Protection-Technologien wie Kaspersky Endpoint Security for Business einsetzen, die die Bedrohungen identifizieren und blockieren, die versuchen, über verschlüsselte Kanäle unentdeckt in das System einzudringen.
     
  • Neben dem Einsatz von Endpoint-Lösungen sollten außerdem erweiterte Sicherheitslösungen für Unternehmen wie Kaspersky Anti Targeted Attack verwendet werden, die Bedrohungen auf Netzwerkebene frühzeitig identifizieren.
     
  • Das SOC-Team sollte Zugriff auf die neuesten Bedrohungsinformationen haben, um über neue und aufkommende Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyberkriminellen verwendet werden, auf dem Laufenden zu bleiben.
     
  • Regelmäßig Schulungen zum Thema Sicherheitsbewusstsein für Mitarbeiter anbieten, um das mit Raubkopien verbundene Risiko und dessen Unterscheidung zu erkennen.

Weitere Informationen:

Weitere Informationen zur Reductor-Malware sind unter https://securelist.com/compfun-successor-reductor/93633/ verfügbar.

www.kaspersky.com/de
 

GRID LIST
Malware

Agent Tesla verbreitet sich wie ein Lauffeuer – Emotet erwacht wieder

Die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd. (NASDAQ:…
hacker Anonymous

Cyber-Mythen aus Film und Fernsehen

Der Herbst ist da und mit ihm steht auch Halloween vor der Tür: Zur Einstimmung schauen…
Zeki Turedi

EU-Kommission warnt vor Cyberangriffen auf 5G-Netze

Die Kritik an der Vergabe der 5G-Netze an nicht europäische Anbieter reißt nicht ab.…
Cyber crime

Spionageangriffe auf Regierungen und Organisationen enttarnt

ESET-Forscher haben mehrere anspruchsvolle Spionageangriffe auf Regierungen und…
Tb W190 H80 Crop Int 7eb8d464864bbbdaf6fa999ca76291d9

Gravierende Sicherheitslücken in TwitterKit für iOS

Das TwitterKit für iOS 3.4.2, das zahlreiche Apps zur Kommunikation mit Twitter nutzen,…
Hacker

Erhöhte Gefahr für deutsche Lager- und Logistikbranche

Mimecast Limited (NASDAQ: MIME) warnt vor der aktuellen Bedrohungssituation in…