Categories: SicherheitVirus

Trojaner nutzt Antivirensoftware zum Diebstahl von Anmeldedaten

Der Sicherheitsanbieter Cybereason beschreibt in seinem Blog eine neue Variante des Trojaners Astaroth, der anfällige Prozesse von Antivirensoftware nutzen kann, um Anmeldedaten oder andere persönliche Informationen zu stehlen. Derzeit wird die Malware bei Spam-Kampagnen in Brasilien und Europa eingesetzt. Die Verbreitung erfolgt über Dateianhänge im 7Zip-Format und schädliche Links.

Um einer Erkennung zu entgehen, verstecken die Hintermänner den Schadcode in JPEG- und GIF-Dateien oder Dateien ohne Endung. Wurde eine solche Datei erfolgreich eingeschleust und vom Nutzer geöffnet, startet sie mithilfe eines XSL-Skripts das legitime BITSAdmin-Tool von Windows, um weiteren Schadcode von einem Server im Internet zu beziehen.

Frühere Versionen von Astaroth suchten auf einem System nach Antivirenprogrammen und stellten ihren Angriff ein, falls sie auf Produkte von Avast stießen. Die neue Version hingegen missbraucht die Avast Software Runtime aswrundll.exe zur Ausführung von DLL-Dateien.

Als Folge kann der Trojaner Daten über das infizierte System stehlen, die Zwischenablage auslesen und alle Tastatureingaben abfangen. Außerdem ist der Schädling in der Lage, andere Prozesse zu beenden.

Dieser Missbrauch einer Sicherheitsanwendung wird auch als „Living off the Land Binaries“ (LOLbins) bezeichnet. „Wir gehen davon aus, dass die Nutzung von WMIC und LOLbins zunehmen wird“, sagte Cybereason. Das große Potential von LOLbins mache es sehr wahrscheinlich, dass auch andere Schadprogramme auf diese Methode zurückgreifen werden, um Systeme zu infizieren.

Avast betont, dass es sich bei dem Missbrauch seiner Software nicht um eine Injektion von Schadcode oder eine nicht autorisierte Ausweitung von Nutzerrechten handelt. „Installierte Avast-Binärdateien verfügen über Selbstschutzmechanismen, um Injektionen zu vermeiden. In diesem Fall verwenden sie eine Avast-Datei, um eine Binärdatei in ähnlicher Weise auszuführen, wie eine DLL unter Windows von der rundll32.exe ausgeführt wird.“ Zudem seien alle Avast-Lösungen in der Lage, die neue Astaroth-Variante zu erkennen und Nutzer davor zu schützen. „Darüber hinaus werden wir Änderungen an unserer Umgebung vornehmen, um sicherzustellen, dass derselbe Prozess in Zukunft nicht auf diese Weise missbraucht werden kann.“

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

22 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

22 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago