Eset hat eine Malware-Kampagne beobachtet, mit der die 2014 erstmals entdeckte und seither sporadische auftauchende Malware Shade erneut für Schadensfälle sorgt. Die Verbreitung erfolgt über Spam-Mails mit einem angehängten ZIP-Archiv. Die Erkennungsraten weisen Einbrüche an den Wochenenden aus – was für eine vor allem auf Unternehmen ausgerichtete Kampagne spricht. Die Kampagne begann schon im Oktober, legte zum Jahresende hin eine Pause ein und setzte im Januar mit doppeltem Volumen zu einem Neustart an.
„Eset-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren“, kommentiert Sicherheitsspezialist Thomas Uhlemann von Eset. „Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne.“.
Die Kampagne konzentriert sich vor allem auf den russischen Raum mit 52 Prozent der Erkennungen, schwappt aber laut Eset auch auf Deutschland über. Weitere betroffene Länder sind demnach die Ukraine, Frankreich und Japan. Die potentiellen Opfer erhalten Mails in russischer Sprache und geben vor, von legitimen russischen Unternehmen zu stammen und über eine Bestellung zu informieren. Absender scheinen etwa die russische Bank B&N oder die Handelskette Magnit zu sein.
Die Sicherheitsforscher ordnen die Kampagne als Teil eines übergeordneten Trends ein, mit dem schädliche JavaScript-Dateien als Angriffsvektor ein Comeback feiern. Die angehängten Archive mit Bezeichnungen wie „info.zip“ oder „inf.zip“ enthalten eine JavaScript-Datei. Deren Ausführung sorgt für das Herunterladen eines bösartigen Loaders von WordPress-Sites, die zuvor durch automatisierte Brute-Force-Attacken kompromittiert wurden. Dort verbirgt sich die Malware in Bilddateien, die alle auf „ssj.jpg“ enden – die Telemetrie von Eset fand Hunderte von ihnen.
Der Malware-Loader ist mit einem ungültigen und scheinbar von Comodo stammenden Zertifikat signiert. Um sich zu tarnen, kopiert er sich außerdem in einen versteckten Ordner und gibt sich als legitimer Windows-Systemprozess „csrss.exe“ aus – mit von Windows Server 2012 R2 kopierten Versionsdetails. Die letztendlich ausgeführte Ransomware Shade – auch als Troldesh bekannt – verschlüsselt eine Vielzahl von Dateitypen auf dem Laufwerk und versieht sie mit einer Endung wie „crypted000007“. Ein Erpressungsschreiben mit Instruktionen für ihre Opfer in Russisch und Englisch legen die Cyberkriminellen als Textdatei auf allen zugänglichen Laufwerken ab.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
