Trojaner nutzt Antivirensoftware zum Diebstahl von Anmeldedaten

Eine neue Variante von Astaroth bedroht derzeit Nutzer in Brasilien und Europa. Sie missbraucht Sicherheitsanwendungen von Avast, um beliebige DLL-Dateien auszuführen. Das erlaubt es dem Trojaner, die Zwischenablage und die Tastatur zu überwachen.

Der Sicherheitsanbieter Cybereason beschreibt in seinem Blog eine neue Variante des Trojaners Astaroth, der anfällige Prozesse von Antivirensoftware nutzen kann, um Anmeldedaten oder andere persönliche Informationen zu stehlen. Derzeit wird die Malware bei Spam-Kampagnen in Brasilien und Europa eingesetzt. Die Verbreitung erfolgt über Dateianhänge im 7Zip-Format und schädliche Links.

Malware (Bild: Shutterstock/Blue Island)Um einer Erkennung zu entgehen, verstecken die Hintermänner den Schadcode in JPEG- und GIF-Dateien oder Dateien ohne Endung. Wurde eine solche Datei erfolgreich eingeschleust und vom Nutzer geöffnet, startet sie mithilfe eines XSL-Skripts das legitime BITSAdmin-Tool von Windows, um weiteren Schadcode von einem Server im Internet zu beziehen.

Frühere Versionen von Astaroth suchten auf einem System nach Antivirenprogrammen und stellten ihren Angriff ein, falls sie auf Produkte von Avast stießen. Die neue Version hingegen missbraucht die Avast Software Runtime aswrundll.exe zur Ausführung von DLL-Dateien.

Als Folge kann der Trojaner Daten über das infizierte System stehlen, die Zwischenablage auslesen und alle Tastatureingaben abfangen. Außerdem ist der Schädling in der Lage, andere Prozesse zu beenden.

Dieser Missbrauch einer Sicherheitsanwendung wird auch als „Living off the Land Binaries“ (LOLbins) bezeichnet. „Wir gehen davon aus, dass die Nutzung von WMIC und LOLbins zunehmen wird“, sagte Cybereason. Das große Potential von LOLbins mache es sehr wahrscheinlich, dass auch andere Schadprogramme auf diese Methode zurückgreifen werden, um Systeme zu infizieren.

Avast betont, dass es sich bei dem Missbrauch seiner Software nicht um eine Injektion von Schadcode oder eine nicht autorisierte Ausweitung von Nutzerrechten handelt. „Installierte Avast-Binärdateien verfügen über Selbstschutzmechanismen, um Injektionen zu vermeiden. In diesem Fall verwenden sie eine Avast-Datei, um eine Binärdatei in ähnlicher Weise auszuführen, wie eine DLL unter Windows von der rundll32.exe ausgeführt wird.“ Zudem seien alle Avast-Lösungen in der Lage, die neue Astaroth-Variante zu erkennen und Nutzer davor zu schützen. „Darüber hinaus werden wir Änderungen an unserer Umgebung vornehmen, um sicherzustellen, dass derselbe Prozess in Zukunft nicht auf diese Weise missbraucht werden kann.“

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Themenseiten: Avast, Malware, Security, Sicherheit, Spam

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Trojaner nutzt Antivirensoftware zum Diebstahl von Anmeldedaten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *