Anzeige

Spionage

ESET-Forscher haben eine Spionagekampagne analysiert, die sich gezielt gegen Unternehmen richtet und noch immer aktiv ist. Die laufende Aktion, die den Namen Bandidos trägt, richtet sich gezielt auf IT-Infrastrukturen in spanischsprachigen Ländern. 90 Prozent der Erkennungen entfallen dabei auf Venezuela.

Allein in 2021 haben die Forscher mehr als 200 Varianten der Malware in Venezuela gesehen. Eine bestimmte Wirtschaftsbranche, auf die diese Kampagne abzielt, konnten die Experten dabei jedoch nicht identifizieren.

"Besonders interessant ist die Chrome-Inject-Funktionalität", sagt ESET-Forscher Fernando Tavella, der die Bandidos-Kampagne untersucht hat. "Nachdem die Kommunikation mit dem Command-and-Control-Server des Angreifers hergestellt ist, lädt das Schadprogramm eine DLL-Datei herunter, die eine bösartige Chrome-Erweiterung erstellt. Diese versucht daraufhin, alle Anmeldeinformationen abzurufen, die das Opfer an eine URL sendet."

Ablauf eines Angriffs

Die potenziellen Opfer erhalten bösartige E-Mails mit einem PDF-Anhang. Die PDF-Datei enthält einen Link zum Herunterladen eines komprimierten Archivs. Darin befindet sich eine ausführbare Datei: ein sogenannter Dropper, dessen Aufgabe es ist, das Spionageprogramm Bandidos in das System zu schleusen. Die Angreifer verwenden URL-Verkürzer wie Rebrandly oder Bitly in ihren PDF-Anhängen. Die Kurzlinks leiten auf Cloud-Speicherdienste wie Google Cloud Storage, SpiderOak oder pCloud um, von wo aus die Malware heruntergeladen wird.

Vorgeschichte von Bandidos

Die ESET Forscher haben bei der Analyse herausgefunden, dass das Spionageprogramm Bandidos eine fortgeschrittene Version der Malware Bandook ist. Dieser ist ein Remote-Access-Trojaner (RAT), der bereits seit 2005 sein Unwesen treibt. 2016 kam er unter anderem zum Einsatz, um Journalisten und Dissidenten in Europa anzugreifen. 2018 und 2020 wurde der RAT für Attacken gegen Bildungseinrichtungen, Mediziner, Regierungen und verschiedene Branchen wie Finanzwesen, IT und Energie eingesetzt.

"In früheren Berichten wurde erwähnt, dass es sich bei den Entwicklern von Bandook um Auftragsentwickler handeln könnte. Das macht angesichts der verschiedenen Kampagnen mit unterschiedlichen Zielen, die im Laufe der Jahre beobachtet wurden, durchaus Sinn. Im Jahr 2021 haben wir nur diese eine aktive Cybercrime-Kampagne gesehen haben, die wir hier dokumentieren. Das zeigt aber, dass die Malware immer noch ein relevantes Werkzeug für Cyberkriminelle ist", meint Matías Porolli, ein ESET-Forscher, der mit Tavella an der Analyse gearbeitet hat.

Ihre gesamte Analyse und weitere Informationen gibt es auf WeliveSecurity.de.

www.eset.com/de
 


Weitere Artikel

Digitalisierung Deutschland

"Digitalen Aufbruch" schnell in die Praxis umsetzen

Die Parteispitzen von SPD, Bündnis90/Die Grünen und FDP haben den Entwurf eines Koalitionsvertrags für eine neue Bundesregierung vorgestellt. Der Breitbandverband ANGA begrüßt die Zusage der künftigen Koalitionäre, die Digitalisierung und den Ausbau der…
Google News

Google News Showcase als Medienplattform eingestuft

Die deutschen Medienregulierer stufen den Nachrichtenbereich Google News Showcase als Medienplattform und Benutzeroberfläche ein und verpflichten den Internetkonzern damit zur Einhaltung von gesetzlichen Transparenzbestimmungen.
Bundeskartellamt

Nextcloud: Beschwerde gegen Microsoft beim Bundeskartellamt

Das deutsche Softwareunternehmen Nextcloud hat beim Bundeskartellamt beantragt zu überprüfen, ob Microsoft eine marktbeherrschende Stellung hat. Das teilte der Unternehmensgründer Frank Karlitschek am Feitag mit und bestätigte damit einen Bericht des…
Security

Neuer Leader im Bereich Cyber Security & Privacy bei PwC Deutschland

Der Fachbereich Cyber Security & Privacy der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC in Deutschland hat einen neuen Leiter.
Home Office

Manager befürchten Bummelei im Homeoffice

Führungskräfte aus Unternehmen in Deutschland stehen der Arbeit ihrer Beschäftigten im Homeoffice im internationalen Vergleich skeptisch gegenüber. Das geht aus einer repräsentativen Yougov-Umfrage im Auftrag von Linkedin unter 2000 Führungskräften aus elf…
digitales haus

Knapp zwei Drittel der Haushalte in Deutschland bereits gigabitfähig

62 Prozent der Haushalte in Deutschland haben laut Breitbandatlas aktuell Zugang zu Gigabit-Netzen. Davon entfällt mit mindestens 25 Millionen Haushalten die deutliche Mehrheit auf Hybrid-Fiber-Coax-Netze (HFC), gut fünf Millionen sind über reine…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.