Schadsoftware stiehlt Bilder

Originalartikel von Raymart Paraiso, Threat Response Engineer

Anscheinend hat der Informationsdiebstahl eine neue Form gefunden. Trend Micro hat Schadsoftware entdeckt, die Bilddateien von allen Laufwerken eines Opfersystems stiehlt und diese an einen entfernten FTP-Server schickt. Die Experten des Sicherheitsanbieters haben die Malware als TSPY_PIXSTEAL.A identifiziert, die von anderer Schadsoftware in Form einer Datei auf einem System abgelegt wird oder von den Nutzern unwissentlich von infizierten Websites heruntergeladen wird.

Die Malware öffnet eine versteckte Befehlszeile und kopiert alle .JPG-, .JPEG- und .DMP-Dateien. JPG und auch JPEG stellen die am meisten verwendeten Bilddateiformate dar, während DMP-Dateien Memory Dump-Dateien sind, die Informationen darüber enthalten, warum ein System unvorhergesehen stoppt.

Der folgende Screenshot zeigt, wie TSPY_PIXSTEAL.A die Dateien von Laufwerk C, D und E in das eigene C:\-Laufwerk kopiert.



Danach verbindet sich die Spyware mit einem entfernten FTP-Server und sendet die ersten 20.000 Dateien dahin. Auch wenn diese Vorgehensweise mühsam erscheint, so ist der potenzielle Gewinn bei erfolgreichem Informationsdiebstahl für die Cyberkriminellen sehr hoch. Bislang konzentrierten sich die Diebstahlroutinen ausschließlich auf Informationen in Textform. Diese neue Form stellt somit für die Nutzer eine völlig unterschiedliche Gefahr dar, wenn sie persönliche oder geschäftliche Informationen als Bilder speichern – etwa durch Einscannen von Dokumenten. Fotos können für den Diebstahl identitätsbezogener Daten benutzt werden, für Erpressung oder gar für künftige gezielte Angriffe.

Für den Schutz der Daten, einschließlich von Dateien mit Bildern, ist der Nutzer selbst verantwortlich. Dazu gehört auch der Schutz vor Malware.

Trend Micros Smart Protection Network schützt vor dieser Gefahr, blockt den FTP-Server und spürt den Informationsdieb auf.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*