Die Counter Threat Unit (CTU) der Dell-Tochter SecureWorks hat eine bisher unbekannte modulare Schadsoftware entdeckt. Sie versteckt Schadcode in Bildern und ist in der Lage, unter anderem Passwörter und Standortdaten zu stehlen. Die Nutzung von digitaler Steganographie erschwert es herkömmlichen Sicherheitstools, die Malware zu erkennen.
Die als Stegoloader bezeichnete Malware-Familie ist laut CTU mindestens seit 2013 aktiv. Bisher wurde sie über illegale Softwarekopien und Schlüsselgeneratoren für Kaufsoftware verteilt. Nach der Installation lade Stegoloader ein Foto im PNG-Format von einer legitimen Website herunter und extrahiere den darin enthaltenen Code, um sein Hauptmodul auszuführen.
Weitere Module des Schadprogramms fragen die öffentliche IP-Adresse eines infizierten Rechners ab oder greifen auf die Listen der zuletzt besuchten Websites und geöffneten Dokumente zu. Das modulare Design erschwert es den Sicherheitsexperten zufolge zudem, die wahren Motive der Angreifer zu erkennen.
Bisher wurde Stegoloader offenbar für Angriffe auf den Gesundheits- und Bildungssektor sowie Industriebetriebe eingesetzt. Die Forscher vermuten, dass es den Hintermännern in erster Linie um persönliche Informationen ging, die sie für künftige Attacken verwenden können.
Einer Host- und Netzwerk-basierten Erkennung entgeht Stegoloader, weil die Malware keine Dateien auf der Festplatte speichert und vollständig im Hauptspeicher ausgeführt wird. Derartiges Verhalten sei bisher nur bei den Malware-Familien Lurk und Neverquest beobachtet worden, so die Forscher.
„Stegoloader entgeht Analyse-Tools und installiert nur die notwendigen Module, ohne sie auf der Festplatte zu speichern“, schreiben die Forscher in ihrem Bericht. „Es gibt wahrscheinlich mehr Stegoloader-Module, als CTU-Forscher bisher entdeckt haben. Sie werden möglicherweise von den Hintermännern benutzt, um Zugang zu weiteren Ressourcen zu erhalten.“ Bisher sei Stegoloader zwar noch nicht für zielgerichtete Attacken eingesetzt worden, die Malware verfüge aber über vielfältige Funktionen zum Diebstahl von Informationen.
[mit Material von Steve McCaskill, TechWeekEurope]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
