Anzeige

Malware

Die Researcher des Zscaler ThreatLabZ-Teams haben einen neuen Downloader entdeckt, der sich Google Drive zu Nutze macht, um sein Ziel mit Malware zu infizieren. 

Sie vergaben den Namen Win32.Downloader.EdLoader an die Malware, die zur Auslieferung ihrer Payload auf eine denkbar große Anwenderbasis mit ca. 1 Mrd. User von Google Drive abzielt und letztendlich das Ziel hat Passwörter auszuspähen.

Downloader werden als erste Stufe einer Infektionskette betrachtet, die es dem Angreifer ermöglichen, in einem betroffenen System Fuß zu fassen. Sie enthalten üblicherweise verschleierten Code, der die tatsächliche Payload ausliefert. Dabei setzen die Cyberkriminellen auch bei Win32.Downloader.EdLoader auf Technologien, die eine Erkennung des Schadcodes durch Anti-Malware Programme verhindern sollen.

Als Verbreitungsmechanismus setzt dieser aktuelle Downloader auf Spam-Kampagnen in unterschiedlichen Sprachen. Dabei werden Email-Templates eingesetzt, die in der Betreffzeile auf eine Bestellung verweisen und den Schadcode in Form eines Attachments im RTF oder XLSM-Format einschleusen. Die Dateianhänge enthalten Excel-Sheets, die die Schwachstelle CVE-2017-8570 ausnutzen, um den ersten Schadcode in der Maschine des Opfers zu platzieren. Der Infektionszyklus setzt sich anschließend über verschiedene Stufen fort, die im Zscaler Blog ausführlich beschrieben werden.

Ein Downloader ist per Definition ein Programm, das eine oder mehrere andere Instanzen von Malware aus dem Internet herunterlädt und installiert sowie ausführt. Er ähnelt einem Dropper und dient ebenso der Infektion von Rechnern durch Umgehung der Sicherheitskontrollen. Im Unterschied zum Dropper, der Malware in sich trägt, erfolgt die Infektion beim Downloader nachgelagert. Durch diesen Mechanismus versucht ein Dropper, sich unbemerkt an einem vorhandenen Malware-Scanner vorbei zu schmuggeln, da die eigentliche Malware noch nicht im ersten Angriffszyklus vorhanden ist.

Diese Downloader-Technik wird bereits seit Jahren eingesetzt und verfolgt immer das gleiche Ziel, Malware auf einem Anwendersystem einzuschleusen. Der Einsatz von einem solch populären Tool wie Google Drive dient dabei der raschen Verbreitung auf einer großen Anzahl an Rechnern. Der Anstieg der geblockten Angriffsversuche in der Zscaler Security Cloud verdeutlich den Erfolg des Systems und die globale Verbreitung auch in Europa.

Blog zscaler


Weitere Artikel

Cyber Attack

Cyberangriffe gegen digitale Identitäten häufen sich

SailPoint Technologies veröffentlichte die Ergebnisse einer aktuellen Umfrage unter Sicherheits- und IT-Verantwortlichen, die klären sollte, warum auch große, ressourcenstarke Unternehmen weiterhin kompromittiert werden. Dabei trat ein gemeinsamer Nenner…
Ransomware

Ransomware: Immer mehr Unternehmen zahlen Lösegeld

Wer das Lösegeld nach einer Ransomware-Attacke zahlt, erhöht die Attraktivität der Malware für Cyberkriminelle, warnt das Royal United Services Institute (RUSI) in einem aktuellen Report.
Zero Trust

Bedrohungstrends 2021: Ist Zero Trust die Antwort?

Die COVID-19-Pandemie ist weltweit ein Treiber für den digitalen Wandel – und für Cyber-Attacken. Während Unternehmen alles daran setzten, sichere Remote-Arbeits-Infrastrukturen für ihre Mitarbeiter zu schaffen, waren Cyber-Kriminelle vor dem Hintergrund der…
Facebook Hacked

Datendiebstahl bei Facebook: Vorsicht vor Smishing!

Sicherlich haben Sie in den vergangenen Tagen den Datendiebstahl von mehr als 500 Mio. Datensätzen bei Facebook verfolgt. Dazu ein Statement – sowohl zum Trend Smishing als auch ein paar Tipps – unseres Kunden Proofpoint, um die eigene Gefährdung vor diesen…
Update

Microsoft Exchange Server-Hack: Nach dem Angriff ist vor dem Angriff

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die Sicherheitslücken, die in den vergangenen Wochen zuhauf beispielsweise von der Hackergruppe Hafnium ausgenutzt wurden, sollten damit behoben sein – für die betroffenen Unternehmen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.