News

PoS-Schädlinge und Andromeda: die neue Symbiose

Die Experten von Trend Micro warnen vor einer Internet-Kampagne, die auf die Verbreitung eines neuen PoS-Schädlings mit Hilfe des Bots Andromeda ausgerichtet ist. Um diese in Umlauf zu bringen, setzen die Initiatoren der Kampagne Spam-Versendungen ein. Nach seiner Installation lädt der Bot auf Befehl vom Steuerungszentrum zusätzliche Tools, die die entfernte Steuerung und Installation von GamaPoS auf anderen Windows-Rechnern im angegriffenen Netz erleichtern.

Der schon seit 2011 bekannte Backdoor Andromeda (in der Klassifikation von Kaspersky Lab Backdoor.Win32.Androm) nutzt für den Download nicht selten andere Schädlinge, unter anderem ZeuS und Rovnix. In diesem Fall wird er via Spam transportiert, der mit Links auf eine Exploit-Plattform oder mit einem angehängten Dokument mit schädlichem Macros ausgestattet ist. Laut Angabe von Trend Micro sind solche Anhänge normalerweise als Dokumente für das neue PCI DSS (Sicherheitsstandard der führenden Kreditkartenunternehmen) getarnt oder als Update für die E-Commerce-Plattform MICROS, die aktuell von Oracle bereitgestellt wird.

Nachdem sich die Backdoor auf einer infizierten Maschine festgesetzt hat, lädt Andromeda auf Befehl des Betreibers eine Kopie von Mimikatz und PsExec. Bei letztgenanntem handelt es sich um ein legitimes Tool, das normalerweise für die entfernte Kontrolle und Diagnostik benutzt wird, und daher häufig in den weißen Listen erscheint. Der Komfort, den die Funktionalität von PsExec bietet, lernten auch Cyberkriminelle zu schätzen, ebenso wie den „guten Ruf“ dieses Tools: Nach Angaben der Forscher wurde PsExec beispielsweise von den Hackern von Target eingesetzt, um bestimmte Prozesse zu abzubrechen und Dateien zu platzieren. Mimikatz ist ebenfalls hinreichend bekannt und wir in modifizierter Form in Cyberattacken angewendet, um Registrierungsdaten von Windows-Rechnern zu stehlen. Der Einsatz von PsExec und Mimikatz zur Verteilung von GamaPoS hilft Cyberkriminellen, ihre Erfolge innerhalb des angegriffenen Netzes zu mehren.

Wie sich zeigte, lädt Andromeda den neuen PoS-Schädling keinesfalls auf alle PCs innerhalb des neuen Botnetzes. Nach Einschätzungen von Trend Micro wurde er zum gegenwärtigen Zeitpunkt nur auf 3,8% der infizierten Rechner verteilt. GamaPoS selbst zeichnet sich dadurch aus, dass er mit Hilfe des Frameworks .NET entwickelt wurde, ein für PoS-Schädlinge äußerst ungewöhnlicher Ansatz. Die Forscher nehmen an, dass die Virenschreiber diesen Weg nicht nur gewählt haben, weil es einfach ist, auf dieser Plattform derartige Anwendungen zu schreiben, sondern auch, weil Microsoft den Quellcode von .NET Core nun als Open Source bereitgestellt hat.

Beim Start sucht GamaPoS mit Hilfe einer URL-Liste ein aktives Steuerungszentrum und baut eine HTTPS-Verbindung auf. Eben diese Adresse verwendet der Schädling in der Folge, zum Versenden der gestohlenen Track-2-Daten von Visa-, Discover- und Maestro-Karten sowie einigen anderen.

Eine Analyse hat ergeben, dass 85% der von GamaPoS angegriffenen Organisationen aus den unterschiedlichsten Bereichen auf 13 US-amerikanische Staaten verteilt sind. In der laufenden Kampagne werden 9 Domains verwendet, die alle mit einer IP-Adresse in Verbindung stehen. Die Forscher haben zudem einige Ähnlichkeiten des neuen Schädlings mit NitlovePOS festgestellt: Beide werden mittels Spam-Versendungen mit schädlichen Macros verbreitet, obgleich PoS-Schädlinge üblicherweise ins System eingeschleust werden, nachdem sie sich entfernten Zugriff durch den Diebstahl oder Hack der entsprechenden Account-Daten verschafft haben. Zudem wurde auf der ersten Etappe beider Kampagnen ein und derselbe IP-Adressblock eingesetzt.

Quelle: Help Net Security

PoS-Schädlinge und Andromeda: die neue Symbiose

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach