Crisis kann vier verschiedene Plattformen infizieren (Grafik: Symantec).
Sicherheitsforscher haben herausgefunden, dass die ursprünglich als Mac-Trojaner eingestufte Malware „Crisis“ tatsächlich vier verschiedene Plattformen infizieren kann. Außer Rechnern mit Mac OS X und Windows zählen dazu Windows-Mobile-Geräte und virtuelle Maschinen von VMware.
Der Sicherheitsanbieter Integro hatte den letzten Monat entdeckten Schädling als Mac-Trojaner beschrieben, der E-Mails und IM-Nachrichten mitlesen sowie Website-Aufrufe protokollieren kann. Symantec stellte später fest, dass die Malware sowohl auf Mac- als auch auf Windows-Systeme abzielt.
Mittels Social-Engineering-Techniken werden Nutzer dazu gebracht, eine JAR-Datei zu installieren, die sich als Adobe Flash Installer tarnt. Die Malware identifiziert dann das verwendete Betriebssystem und installiert die passenden ausführbaren Dateien (siehe Grafik).
„Das dürfte die erste Malware sein, die versucht, sich auf virtuelle Maschinen zu verbreiten“, schreibt Takashi Katsuki, Sicherheitsforscher in Diensten von Symantec, in einem Blogeintrag. „Viele Schadprogramme löschen sich selbst, wenn sie eine Monitoring-Anwendung für virtuelle Maschinen wie VMware entdecken, um zu verhindern, dass sie analysiert werden. Daher könnte dies der nächste große Schritt nach vorn für Malware-Autoren sein.“
Crisis sucht auf dem infizierten Computer gezielt nach dem Image einer virtuellen VMware-Maschine. Wird sie dabei fündig, kopiert die Malware sich selbst auf das Image mithilfe des Tools VMware Player, das die Ausführung mehrerer Betriebssysteme auf einem Computer erlaubt.
„Sie nutzt keine Anfälligkeit in VMwares Software aus“, erklärt Katsuki. „Stattdessen macht sie sich eine Eigenschaft jeder Virtualisierungssoftware zunutze: nämlich, dass eine virtuelle Maschine nichts weiter als eine Datei oder eine Reihe von Dateien auf der Festplatte des Host-Computers ist. Diese Dateien können normalerweise direkt manipuliert oder gemountet werden, selbst wenn die virtuelle Maschine nicht läuft.“
Die Windows-Variante von Crisis infiziert laut Symantec auch mobile Windows-Geräte. Werden diese mit einem kompromittierten Rechner verbunden, installiert der Schädling ein passendes Modul. Weil er dafür das Remote Application Programming Interface (RAPI) nutzt, sind Android- und iOS-Geräte nicht betroffen. „Wir haben aktuell noch keine Kopien dieser Module und halten daher danach Ausschau, um sie eingehender analysieren zu können“, so Katsuki.
[mit Material von Steven Musil, News.com]
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
