Thought Leadership
Die neue Byakugan-Malware stiehlt Daten, erlaubt Hackern Fernzugriff und spioniert infizierte Rechner aus. Verbreitet wird der Virus per pdf – über eine vermeintlich eingebettete Bilddatei.
Wer Dokumente verschicken will, nutzt oftmals das Dateiformat pdf, da es im Gegensatz zu offenen Dateien wie Word oder Excel als sicherer gilt und daher weniger oft im Spamfilter hängen bleibt. Doch auch pdfs können mit Malware kompromittiert sein, wie aktuelle Fälle zeigen, über die u.a. Sicherheitsforscher von Fortinet berichten.
Bereits im Januar entdeckten die Forscher eine pdf-Datei, die in portugiesischer Sprache verfasst war, und die Malware Byakugan verbreitet hat. Dafür nutzen die Kriminellen eine verschwommene Bilddatei mit der Aufforderung, die lesbare Datei per Klick auf einen Link herunterzuladen. Natürlich führt der Link nicht zum gewünschten Inhalt, sondern zu einer Downloader-Datei mit dem Namen require.exe. Anschließend wird ein Installer über den Ordner Temporäre Dateien heruntergeladen, gefolgt von einer DLL-Datei, die require.exe dazu bringt, das Hauptmodul der Malware herunterzuladen.
Byakugan ist eine node.js-basierte Malware, die OBS Studio verwendet, um den Desktop des Ziels zu überwachen und verschiedene Funktionen auszuführen. Sie verfügt über mehrere Bibliotheken, darunter einen Bildschirm-Monitor, Miner, Keylogger.
Darüber hinaus kann Byakugan Downloads von beliebten Minern wie Xmrig, t-rex und NBMiner durchführen. Er speichert auch Daten im kl-Ordner und kann Informationen über Cookies, Kreditkarten, Downloads und automatisch ausgefüllte Profile stehlen, wie die Forscher berichten
Byakugan verfügt auch über Anti-Analyse-Funktionen, z. B. gibt er vor, ein Speichermanager zu sein, und setzt den Pfad auf den Ausschlusspfad des Windows Defender. Außerdem legt er eine Taskplaner-Konfigurationsdatei im Defender-Ordner ab, sodass er beim Starten automatisch ausgeführt wird.
Auch das AhnLab Security Center (ASEC) berichtet über einen ähnlichen Fall, in dem ein Infostealer per pdf in Portugiesisch verbreitet wurde. Das Opfer wurde hier aufgefordert, den Acrobat Reader herunterzuladen. Der enthaltene Link führt jedoch auch in diesem Fall nicht zum Ziel, sondern zu einer Malware-Datei mit dem Namen Reader_Install_Setup.exe. Außerdem werden zwei bösartige Dateien erstellt und eine Windows-Systemdatei namens msdt.exeals als Administrator ausgeführt, wobei er die bösartige BluetoothDiagnosticUtil.dll und die bösartige DLL-Datei lädt. Durch DLL-Hijacking kann der Angreifer die User Account Control (UAC) umgehen.
Derartige Bedrohungen zu erkennen, wird dadurch erschwert, weil die Hintermänner sowohl saubere als auch bösartige Komponenten in ihrer Malware verwenden. Um sich vor Phishing-Angriffen und trügerischer Malware zu schützen, müssen Benutzer daher beim Öffnen ihrer E-Mails vorsichtig sein und die Legitimität des Absenders überprüfen. Außerdem sollten sie sichere Passwörter und eine Zwei-Faktor-Authentifizierung verwenden, ihre Software auf dem neuesten Stand halten und bevorzugt Sicherheitssoftware installieren, die Phishing-E-Mails und Malware erkennen und blockieren kann. Vermieden werden sollte es auch, auf Links zu klicken oder Anhänge aus verdächtigen E-Mails herunterzuladen. Im Zweifelsfall lohnt es sich, den vermeintlichen Absender zu kontaktieren und nachzufragen.
www.8com.de
