Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2020
14.01.20 - 17.01.20
In Wien, Hotel Savoyen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

SMX
18.03.20 - 19.03.20
In München

Anzeige

Anzeige

Malware

Kaspersky-Forscher haben mit „Reductor“ eine neue Malware entdeckt, die in die Interaktion von Opfern mit HTTPS-Webseiten eingreift, indem sie den Pseudozufallszahlengenerator manipuliert, mit dem die verschlüsselte Kommunikation zwischen dem Nutzer und der Website hergestellt wird.

Zusammen mit der Installation von falschen digitalen Zertifikaten können die Malware-Akteure so die Browseraktivität von Nutzern ausspionieren.

Zwar steht das „S“ in HTTPS für „Sicher“ und Informationen, die zwischen Browser und Webseite ausgetauscht werden, sollten nicht für Dritte zugänglich sein, jedoch können hochqualifizierte Hacker-Gruppen in diesen Prozess eingreifen. Die Malware Reductor wurde als Tool für eine derartige Cyberspionage auf diplomatische Organisationen der Gemeinschaft Unabhängiger Staaten (GUS) unter anderem zur Überwachung des Internetverkehrs der Mitarbeiter eingesetzt. Darüber hinaus verfügen die gefundenen Module über RAT-Funktionen (Remote Administration Tool) und die Fähigkeiten dieser Malware sind nahezu unbegrenzt.

Reductor besteht aus zwei Hauptangriffsvektoren, von denen einer Module über COMPfun-Malware herunterlädt, die zuvor dem russischsprachigen Bedrohungsakteur Turla zugeschrieben wurden. Über den zweiten Vektor haben die Angreifer die Möglichkeit, die Software direkt während des Herunterladens aus legitimen Quellen auf den Opfer-Computer mit schädlichen Inhalten zu versehen. Die Software-Installer werden von Warez-Websites heruntergeladen, die kostenlose Downloads von Raubkopien anbieten. Zwar sind diese Installationsprogramme ursprünglich nicht mit Malware kompromittiert, sie jedoch mit Schadcode versehen auf den Opfer-Computer gelangen. Kaspersky-Forschern kamen zu dem Schluss, dass die Manipulation während des Downloads erfolgt und Betreiber von Reductor eine gewisse Kontrolle über das Netzwerk des Ziels haben..

Sobald Reductor auf dem Computer ist, manipuliert er die installierten digitalen Zertifikate und manipuliert damit die Pseudozufallszahlengeneratoren des Browsers, mit denen der Datenverkehr vom Nutzer zu den HTTPS-Webseiten hin verschlüsselt wird. Um die Opfer zu identifizieren, deren Datenverkehr überwacht wird, fügen die Cyberkriminellen eindeutige hard- und softwarebasierte Kennungen hinzu und markieren sie mit bestimmten Zahlen in einem nicht mehr zufälligen Zahlengenerator. Sobald der Browser auf dem infizierten Gerät manipuliert ist, erhält der Angreifer alle Informationen und Aktionen, die mit diesem Browser ausgeführt werden – ohne dass das Opfer etwas bemerkt.

„Wir haben noch nie gesehen, dass Malware-Entwickler auf diese Weise mit der Browserverschlüsselung interagieren“, zeigt sich Kurt Baumgartner, Sicherheitsforscher im Global Research and Analysis Team von Kaspersky, verblüfft. „Es ist in gewisser Weise elegant und ermöglichte es den Angreifern, lange unentdeckt zu bleiben. Die Komplexität der Angriffsmethode legt nahe, dass die Entwickler von Reductor-Malware hochprofessionell sind – was unter staatlich unterstützten Akteuren durchaus üblich ist. Wir konnten jedoch keine soliden technischen Hinweise finden, um die Malware einem bekannten Bedrohungsakteur zuordnen zu können. Wir fordern alle Organisationen, die mit sensiblen Daten zu tun haben, dringend dazu auf, wachsam zu bleiben und regelmäßig gründliche Sicherheitskontrollen durchzuführen.“

Produkte von Kaspersky erkennen und blockieren Reductor-Malware erfolgreich.

Kaspersky-Schutzempfehlungen

  • Regelmäßig Sicherheitsüberprüfung der IT-Infrastruktur des Unternehmens durchführen.
     
  • Bewährte Sicherheitslösungen mit Web-Threat-Protection-Technologien wie Kaspersky Endpoint Security for Business einsetzen, die die Bedrohungen identifizieren und blockieren, die versuchen, über verschlüsselte Kanäle unentdeckt in das System einzudringen.
     
  • Neben dem Einsatz von Endpoint-Lösungen sollten außerdem erweiterte Sicherheitslösungen für Unternehmen wie Kaspersky Anti Targeted Attack verwendet werden, die Bedrohungen auf Netzwerkebene frühzeitig identifizieren.
     
  • Das SOC-Team sollte Zugriff auf die neuesten Bedrohungsinformationen haben, um über neue und aufkommende Tools, Techniken und Taktiken, die von Bedrohungsakteuren und Cyberkriminellen verwendet werden, auf dem Laufenden zu bleiben.
     
  • Regelmäßig Schulungen zum Thema Sicherheitsbewusstsein für Mitarbeiter anbieten, um das mit Raubkopien verbundene Risiko und dessen Unterscheidung zu erkennen.

Weitere Informationen:

Weitere Informationen zur Reductor-Malware sind unter https://securelist.com/compfun-successor-reductor/93633/ verfügbar.

www.kaspersky.com/de
 

GRID LIST
Ransomware

Neue Ransomware startet PCs im abgesicherten Modus

SophosLabs beschreibt in aktuellem „Snatch“-Report detailliert das Vorgehen der Hacker…
Schritte / Hacker mit Hoody

Software Vulnerability Management: Hackern zwei Schritte voraus

Der Kampf gegen Hackerangriffe gleicht einem Formel-1-Rennen: Der Schnellste gewinnt.…
Tb W190 H80 Crop Int 4bd24ef570d0f885fb56274bdd957c2c

Office 365 im Visier von Cyberkriminellen

Für Cyberkriminelle ist Office 365 durch seine Popularität bei Unternehmen mittlerweile…
IoT-Security

Von wegen „smart“: Wo hapert’s noch im IoT?

IT-Security-Experte Dr. Hubert Jäger von der Münchner TÜV SÜD-Tochter uniscon GmbH kann…
5G

Sicherheitsrisiko 5G?

Sicherheitsforscher von der Purdue University und der University of Iowa haben auf der…
Hacker 2020

Cyber-Security-Trends 2020: Deepfakes, Ransomware & Co.

Der technologische Fortschritt, der Wandel zur Cloud-Infrastruktur und die Modernisierung…