Quant-Trojaner nimmt Kryptowährungen ins Visier

Forscher von Forcepoint Security Labs haben eine neue Variante des Trojaners Quant entdeckt. Ein vor kurzem veröffentlichtes Update soll die Malware um einige „beunruhigende“ Funktion erweitern. Unter anderem soll sie nun in der Lage sein, die Anmeldedaten für Online-Geldbörsen von Kryptowährungen auszuspähen, um die darin enthaltenen Bitcoins zu stehlen.

Im vergangenen Jahr beschrieben die Forscher Quant als einen sehr simplen Trojaner zur Verteilung der Ransomware Locky und der Malware-Familie Pony. Nun entdeckten die Forscher jedoch ein neues Administrationstool für Quant auf einer neu registrierten Domain sowie die jüngsten Muster der Malware. Sie beziehen nun automatisch zusätzliche Dateien von einem Befehlsserver im Internet.

Die erste Datei namens Bs.dll.c ist ein Cryptocurrency Stealer. Zs.dll.c wiederum hat die Aufgabe, Anmeldedaten zu stehlen und Sql.dll.c ist eine dafür benötigte SQLite-Bibliothek. Der Cryptocurrency Stealer sucht im Anwendungsverzeichnis des Opfers nach unterstützten Geldbörsen (Bitcoin, Terracoin, Peercoin und Primecoin) und verschickt gefundene Daten an die Angreifer. Der Credential Stealer wiederum ist hinter Anmeldedaten für Anwendungen und das Betriebssystem her. Auch er überträgt alle gefundenen Informationen an den Befehlsserver der Hintermänner.

Die Forscher fanden auch heraus, dass Quant in russischen Untergrund-Foren von einem Nutzer namens „MrRaiX“ oder „DamRaiX“ angeboten wird. Fünf Lizenzen des Trojaners sollen dort derzeit 275 Dollar kosten, inklusive der Module zum Stehlen von Kryptowährungen und Anmeldedaten. Die Module seien aber auch separat erhältlich. Ersteres koste 100 Dollar zuzüglich 15 Dollar pro Update, Letzteres 100 Dollar inklusive aller Updates oder 55 Dollar zuzüglich 15 Dollar pro Update.

Eine weitere Neuerung von Quant sei ein Schlaf-Befehl, der eine Entdeckung durch Antivirenprogramme sowie eine Analyse in Sandbox-Umgebungen erschweren solle, ergänzten die Forscher. Dieser relativ alte Trick werde aber inzwischen von einigen Sicherheitslösungen erkannt, darunter Kaspersky Internet Security, Panda Firewall, Norton Security, Dr. Web Firewall, Bitdefender und Bullguard.

Darüber hinaus nutze Quant einen ShellExecuteEx genannten Trick, um die Benutzerkontensteuerung von Windows zu umgehen. Unter bestimmten Umständen beziehungsweise in Abhängigkeit von den Einstellungen der Benutzerkontensteuerung sei die Malware in der Lage, höhere Rechte zu erlangen, ohne dass die Benutzerkontensteuerung davor warne. Die Hintermänner von Quant bezeichneten diese Funktion in Anzeigen für die Malware als „Privilege Escalation“.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.