‚Fauxpersky‘ – neue Malware klaut Passwörter

Hochgradig effizient sei die neu entdeckte Malware, auch wenn der Schädling nicht besonders ausgefeilt ist. Neben der Visual-Basic-Alternative AutoHotKey kommt auch Google Form bei der Kampagne zu Einsatz.

Forscher berichten von einer neuen Malware, die darauf ausgerichtet ist, Passwörter und andere Eingaben aus einem angegriffenen Rechner an die Inbox eines Angreifers zu schicken. Die Malware sei laut den Sicherheitsexperten Cybereason zwar recht einfach gestrickt dafür aber um so erfolgreicher.

Das IT-Sicherheitsunternehmen Cybereason haben den Keylogger auch den Namen „Fauxpersky“ verliehen und damit auf den russischen Antiviren-Hersteller Kaspersky angespielt. Der Keylogger besteht aus der populären App AutoHotKey, über die Nutzer kleine Scripte schreiben können, um damit alltägliche Aufgaben zu automatisieren. In diesem Fall wurde das Programm genutzt, um damit den Keylogger zu schreiben und Windows-PCs zu infizieren und sich auch selbst auf den Festplatten eines infizierten PCs weiter zu verbreiten.

Dieser Splash-Screen gibt dem simpel gestrickten Keylogger den Namen Fuaxpersky  (Bild: Cybereason) Dieser Splash-Screen gibt dem simpel gestrickten Keylogger den Namen Fuaxpersky (Bild: Cybereason)

„Diese Malware ist keinesfalls besonders fortschrittlich oder gar stealthy“, gestehen Amit Serper und Chris Black, die in einem detaillierten Blog die Malware analysieren. Dennoch sei diese Malware hochgradig effizient beim infizieren von USB-Laufwerken und um aus dem Keylogger die Daten zu extrahieren und über Google an die Inbox des Angreifers zu schicken.

Sobald die Malware vollständig aufgerufen ist, werden sämtlich Eingaben, die auf dem Rechner getätigt werden mitgeschnitten und in einer Textdatei gespeichert. Neben den Eingaben speichert die Malware auch Metadaten, wie etwa den Namen des Fensters, in dem der Nutzer gerade arbeitet, um dem Angreifer ein besseres Verständnis über den Kontext der Nutzereingaben zu geben.

VERANSTALTUNGSHINWEIS

SolarWinds Roadshow: 15. Mai in Düsseldorf – 16. Mai in Berlin – 17. Mai in Hamburg

Zusammen mit NetMediaEurope veranstaltet Solarwinds eine Vortragsreihe zum Thema "Einheitliches Monitoring für die IT-Komplexität von heute. Der Eintritt ist frei.

Diese Kontextinformationen werden aus dem Rechner über Google Form herausgefiltert. Anschließend wird die Datei auf dem Speicher des Rechners gelöscht. Und jeder Response geht direkt in die Inbox des Malware-Autors.

Google hat das bösartige Formular inzwischen gelöscht. Von Google aber gibt es derzeit noch keinen Kommentar darüber, welcher Nutzer dieses Formular angelegt hat. Der Autor soll aber keinen große Ehrgeiz entwickelt haben, um die eigene Malware als legitimes Programm zu tarnen.

Jedoch hatte der Autor zumindest versucht, einen Kaspersky-Splash-Screen zu erstellen. Daher auch der Name Fauxpersky. Über einen Shortcut im Start-Menü von Windows-Startup-Directory wird die Malware nach dem Start wieder aufgerufen. Von Cybereason gibt es derzeit noch keine Angaben darüber, wie weit die Malware verbreitet ist.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

HIGHLIGHT

EMM – ein nützliches Werkzeug zur Einhaltung der DSGVO

Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. In diesem Dokument finden Unternehmen Rahmenbedingungen, mit denen sie ihre Richtlinien für mobilen Datenschutz und mobile Sicherheit sowie die Durchsetzungskonzepte bewerten können.

Themenseiten: Cybercrime, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu ‚Fauxpersky‘ – neue Malware klaut Passwörter

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *