Schlagwort-Archive: Spyware

Unrühmliche Partnerschaft: CryptoWall 3.0-Ransomware und FAREIT Spyware

Originalartikel von Anthony Joe Melgarejo, Threat Response Engineer

Crypto-Ransomware legt mit neuen Routinen noch einmal nach. Die Bedrohungsforscher fanden eine Variante, die zum ersten Mal mit Spyware kombiniert ist. Dabei hatten die Fachleute erst kürzlich entdeckt, dass Ransomware nun auch Dateiinfektion in die Routinen aufgenommen hatte.
Weiterlesen

Schadsoftware stiehlt Bilder

Originalartikel von Raymart Paraiso, Threat Response Engineer

Anscheinend hat der Informationsdiebstahl eine neue Form gefunden. Trend Micro hat Schadsoftware entdeckt, die Bilddateien von allen Laufwerken eines Opfersystems stiehlt und diese an einen entfernten FTP-Server schickt. Die Experten des Sicherheitsanbieters haben die Malware als TSPY_PIXSTEAL.A identifiziert, die von anderer Schadsoftware in Form einer Datei auf einem System abgelegt wird oder von den Nutzern unwissentlich von infizierten Websites heruntergeladen wird.

Die Malware öffnet eine versteckte Befehlszeile und kopiert alle .JPG-, .JPEG- und .DMP-Dateien. JPG und auch JPEG stellen die am meisten verwendeten Bilddateiformate dar, während DMP-Dateien Memory Dump-Dateien sind, die Informationen darüber enthalten, warum ein System unvorhergesehen stoppt.

Der folgende Screenshot zeigt, wie TSPY_PIXSTEAL.A die Dateien von Laufwerk C, D und E in das eigene C:\-Laufwerk kopiert.



Danach verbindet sich die Spyware mit einem entfernten FTP-Server und sendet die ersten 20.000 Dateien dahin. Auch wenn diese Vorgehensweise mühsam erscheint, so ist der potenzielle Gewinn bei erfolgreichem Informationsdiebstahl für die Cyberkriminellen sehr hoch. Bislang konzentrierten sich die Diebstahlroutinen ausschließlich auf Informationen in Textform. Diese neue Form stellt somit für die Nutzer eine völlig unterschiedliche Gefahr dar, wenn sie persönliche oder geschäftliche Informationen als Bilder speichern – etwa durch Einscannen von Dokumenten. Fotos können für den Diebstahl identitätsbezogener Daten benutzt werden, für Erpressung oder gar für künftige gezielte Angriffe.

Für den Schutz der Daten, einschließlich von Dateien mit Bildern, ist der Nutzer selbst verantwortlich. Dazu gehört auch der Schutz vor Malware.

Trend Micros Smart Protection Network schützt vor dieser Gefahr, blockt den FTP-Server und spürt den Informationsdieb auf.

 

Ein neuer Trojaner stiehlt Informationen

Originalartikel von Karl Dominguez (Threat Response Engineer bei Trend Micro)

Während ZeuS derzeit die ganze Aufmerksamkeit der Branche auf sich zieht, hat sich still und leise eine neue Spyware in der Szene breit gemacht. CARBERP ist eine neue Trojaner-Familie, die wahrscheinlich als Konkurrent zur beherrschenden ZeuS-Schadsoftware entwickelt wurde.

TROJ_CARBERP.A nutzt eine raffinierte Technik, um der Entdeckung zu entgehen. Der Schädling hinterlässt absichtlich eine Kopie seiner selbst und seiner Komponentendateien in Verzeichnissen, die keine Administratorenrechte benötigen. Damit umgeht die Malware Windows 7 und Vistas Account Control (UAC), und die Routinen werden von den neueren Windows-Versionen nicht entdeckt. Genauer gesagt, setzt er die Dateien in die Ordner Startup und Application Data. Weder erzeugt noch modifiziert er dabei Registry-Einträge. Weil Dateien im Startup-Ordner auch von weniger versierten Nutzern leicht entdeckt werden, nutzt die Malware zwei Schnittstellen, um sich, die Komponentendateien und den Thread zu verbergen.

Die tatsächliche Gefahr, die von CARBERP ausgeht, besteht darin, dass der Schädling Netzwerk-APIs in WININET.DLL verankert, um die Browsing-Aktivitäten des Opfersystems zu überwachen. Darüber hinaus kontaktiert der Schädling seinen C&C-Server. Dort lädt er eine Konfigurationsdatei herunter, schickt eine Liste der auf dem betroffenen System laufenden Prozesse und nimmt verschiedene Befehle entgegen. Mit diesen Fähigkeiten können die Cyberkriminellen jede gewünschte Information stehlen.

Derzeit verbindet sich CARBERP mit bereits nicht mehr zugänglichen Websites und kann somit die Routinen nicht ablaufen lassen. Die Anwender von Trend Micro-Produkten sind gegen diese Angriffe geschützt, denn das Smart Protection Network erkennt und blockiert den Trojaner, bevor er die Kundensysteme infizieren kann.

Ein neues Botnet betritt die Bühne

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Es gibt ein neues Botnet, das die Sicherheitsforscher von Trend Micro als TSPY_EYEBOT.A identifiziert haben. Bestimmte Verhaltensweisen von EYEBOT lassen laut Experten darauf schließen, dass es mit ZBOT zu einem Bot-Krieg kommen könnte, ähnlich den Kriegen zwischen den Würmern NETSKY und MYDOOM. EYEBOT ist zwar noch ein Anfänger, doch falls die Kriminellen hinter ZBOT beschließen zu antworten, wäre ein solcher Kampf nicht ausgeschlossen.

Beide Botnetze nutzen Rootkit-Technologie, wobei EYEBOT eher wie ein „Backdoor“ agiert. Die neue Spyware weist ähnliche Routinen auf wie die Zeus-Variante ZBOT, die als die gefährlichste Malware bezüglich des Diebstahls von Informationen und Identitäten gilt. EYEBOT stiehlt mithilfe von Keyloggging Kontozugangsinformationen. Außerdem hinterlässt die Spyware eine Konfigurationsdatei ähnlich der von ZBOT für die Überwachung von Banken-Websites genutzten. EYEBOT verwendet Rootkit-Technologie, um die bösartigen Dateien und Prozesse vor den betroffenen Nutzern zu verstecken und einer Entdeckung zu entgehen.

Die Spyware stammt aus Russland und dient auch als Server für eine grafische Benutzerschnittstelle – der augenscheinlichste Unterschied zu den ZBOT-Varianten. Während diese normalerweise Standalone-Programme darstellen, muss EYEBOT Befehle eines böswilligen Nutzers entgegen nehmen. Damit agiert der Neuling eher wie ein typisches Backdoor-Programm, das Cyberkriminellen Zugang zu den betroffenen Systemen verschafft.

Einen weiteren Unterschied macht die Fähigkeit aus, von ZBOT angestoßene Prozesse zu beenden. Eine nähere Analyse der Binärdatei zeigt, dass die Spyware darauf ausgerichtet ist, bekannte ZBOT-Mutexe, _AVIRA_ and __SYSTEM__ zu monitoren.

Das Smart Protection Network von Trend Micro schützt Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mithilfe der Web-Reputationsdienste den Zugang zur bösartigen Site http://{BLOCKED}antibot.net/bload/bin/build.exe blockiert, wo die Spyware herunter geladen werden könnte. Über die Dateireputations-Services entdeckt das SPN die Datei (TSPY_EYEBOT.A) und verhindert deren Ausführung auf betroffenen Systemen. Diejenigen, die keine Trend Micro-Produkte im Einsatz haben, können sich mithilfe des kostenlosen Tools Web Protection Add-On schützen. Das Addon blockiert in Echtzeit den Zugriff der Nutzer auf potenziell bösartige Websites.