Anzeige

Malware

Die Researcher des Zscaler ThreatLabZ-Teams haben einen neuen Downloader entdeckt, der sich Google Drive zu Nutze macht, um sein Ziel mit Malware zu infizieren. 

Sie vergaben den Namen Win32.Downloader.EdLoader an die Malware, die zur Auslieferung ihrer Payload auf eine denkbar große Anwenderbasis mit ca. 1 Mrd. User von Google Drive abzielt und letztendlich das Ziel hat Passwörter auszuspähen.

Downloader werden als erste Stufe einer Infektionskette betrachtet, die es dem Angreifer ermöglichen, in einem betroffenen System Fuß zu fassen. Sie enthalten üblicherweise verschleierten Code, der die tatsächliche Payload ausliefert. Dabei setzen die Cyberkriminellen auch bei Win32.Downloader.EdLoader auf Technologien, die eine Erkennung des Schadcodes durch Anti-Malware Programme verhindern sollen.

Als Verbreitungsmechanismus setzt dieser aktuelle Downloader auf Spam-Kampagnen in unterschiedlichen Sprachen. Dabei werden Email-Templates eingesetzt, die in der Betreffzeile auf eine Bestellung verweisen und den Schadcode in Form eines Attachments im RTF oder XLSM-Format einschleusen. Die Dateianhänge enthalten Excel-Sheets, die die Schwachstelle CVE-2017-8570 ausnutzen, um den ersten Schadcode in der Maschine des Opfers zu platzieren. Der Infektionszyklus setzt sich anschließend über verschiedene Stufen fort, die im Zscaler Blog ausführlich beschrieben werden.

Ein Downloader ist per Definition ein Programm, das eine oder mehrere andere Instanzen von Malware aus dem Internet herunterlädt und installiert sowie ausführt. Er ähnelt einem Dropper und dient ebenso der Infektion von Rechnern durch Umgehung der Sicherheitskontrollen. Im Unterschied zum Dropper, der Malware in sich trägt, erfolgt die Infektion beim Downloader nachgelagert. Durch diesen Mechanismus versucht ein Dropper, sich unbemerkt an einem vorhandenen Malware-Scanner vorbei zu schmuggeln, da die eigentliche Malware noch nicht im ersten Angriffszyklus vorhanden ist.

Diese Downloader-Technik wird bereits seit Jahren eingesetzt und verfolgt immer das gleiche Ziel, Malware auf einem Anwendersystem einzuschleusen. Der Einsatz von einem solch populären Tool wie Google Drive dient dabei der raschen Verbreitung auf einer großen Anzahl an Rechnern. Der Anstieg der geblockten Angriffsversuche in der Zscaler Security Cloud verdeutlich den Erfolg des Systems und die globale Verbreitung auch in Europa.

Blog zscaler


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.
Hacker

Identitätsbetrug: Darauf müssen sich Unternehmen 2021 vorbereiten

Zum Jahresbeginn prognostizieren die Security-Experten von ForgeRock und Onfido weitere Zunahmen von Betrugsversuchen im Internet. Vor allem Deepfakes werden zunehmend raffinierter. Unternehmen müssen daher zukünftig auf alternative Überprüfungsmethoden von…
Hacker

Ende von DarkMarket: So reagiert das Dark Web

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen…
Hacker

5 Sicherheitsrisiken, die uns dieses Jahr erwarten

Das Jahr 2020 hat Geschichte geschrieben: Die globale Covid-19-Pandemie hat so ziemlich alle Lebensbereiche auf den Kopf gestellt – inklusive die Welt der Cyber-Kriminalität.
COVID-19-Impfstoff

Cyberangriffe auf die Supply Chain für COVID-19-Impfstoffe

Warum sind Cyberkriminelle daran interessiert, die COVID-19-Impfstoff-Lieferkette zu unterbrechen? Was haben wir bereits an COVID-19-bezogenen Cyberangriffen gesehen?
Hacker

Digitaler Service des US-Militärs lädt Hacker ein Schwachstellen zu entdecken

Der Defense Digital Service (DDS) und Hackerone, Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker, gaben den Start ihres elften Bug-Bounty-Programms bekannt. Zudem ist es das dritte Bug-Bounty-Programm mit dem U.S.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!