Die Counter Threat Unit (CTU) der Dell-Tochter SecureWorks hat eine bisher unbekannte modulare Schadsoftware entdeckt. Sie versteckt Schadcode in Bildern und ist in der Lage, unter anderem Passwörter und Standortdaten zu stehlen. Die Nutzung von digitaler Steganographie erschwert es herkömmlichen Sicherheitstools, die Malware zu erkennen.
Die als Stegoloader bezeichnete Malware-Familie ist laut CTU mindestens seit 2013 aktiv. Bisher wurde sie über illegale Softwarekopien und Schlüsselgeneratoren für Kaufsoftware verteilt. Nach der Installation lade Stegoloader ein Foto im PNG-Format von einer legitimen Website herunter und extrahiere den darin enthaltenen Code, um sein Hauptmodul auszuführen.
Weitere Module des Schadprogramms fragen die öffentliche IP-Adresse eines infizierten Rechners ab oder greifen auf die Listen der zuletzt besuchten Websites und geöffneten Dokumente zu. Das modulare Design erschwert es den Sicherheitsexperten zufolge zudem, die wahren Motive der Angreifer zu erkennen.
Bisher wurde Stegoloader offenbar für Angriffe auf den Gesundheits- und Bildungssektor sowie Industriebetriebe eingesetzt. Die Forscher vermuten, dass es den Hintermännern in erster Linie um persönliche Informationen ging, die sie für künftige Attacken verwenden können.
Einer Host- und Netzwerk-basierten Erkennung entgeht Stegoloader, weil die Malware keine Dateien auf der Festplatte speichert und vollständig im Hauptspeicher ausgeführt wird. Derartiges Verhalten sei bisher nur bei den Malware-Familien Lurk und Neverquest beobachtet worden, so die Forscher.
„Stegoloader entgeht Analyse-Tools und installiert nur die notwendigen Module, ohne sie auf der Festplatte zu speichern“, schreiben die Forscher in ihrem Bericht. „Es gibt wahrscheinlich mehr Stegoloader-Module, als CTU-Forscher bisher entdeckt haben. Sie werden möglicherweise von den Hintermännern benutzt, um Zugang zu weiteren Ressourcen zu erhalten.“ Bisher sei Stegoloader zwar noch nicht für zielgerichtete Attacken eingesetzt worden, die Malware verfüge aber über vielfältige Funktionen zum Diebstahl von Informationen.
[mit Material von Steve McCaskill, TechWeekEurope]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
