Schlagwort-Archive: Trend Micro Smart Protection Network

Unrühmliche Partnerschaft: CryptoWall 3.0-Ransomware und FAREIT Spyware

Originalartikel von Anthony Joe Melgarejo, Threat Response Engineer

Crypto-Ransomware legt mit neuen Routinen noch einmal nach. Die Bedrohungsforscher fanden eine Variante, die zum ersten Mal mit Spyware kombiniert ist. Dabei hatten die Fachleute erst kürzlich entdeckt, dass Ransomware nun auch Dateiinfektion in die Routinen aufgenommen hatte.
Weiterlesen

Neue Ransomware-Variante bietet Goodie

Originalartikel von Rhena Inocencio, Threat Response Engineer

 

Die Bedrohungsforscher von Trend Micro haben die Veränderungen der Krypto-Ransomware seit ihrer Entdeckung 2013 kontinuierlich beobachtet. Obwohl die Schadsoftware noch relativ neu ist, hat sie sich bereits zu einer ernst zu nehmenden Bedrohung für gutgläubige Anwender entwickelt. Krypto-Ransomware nutzt ähnliche Routinen wie Cryptolocker, einer um Dateiverschlüsselungsfähigkeiten erweiterten Ransomware. Nun entdeckten die Bedrohungsforscher zwei Varianten der Krypto-Ransomware mit jeweils einer Routine oder einer Fähigkeit, die in anderen Varianten nicht vorhanden ist.
Weiterlesen

Systeme mit kennwortgeschützten Makros infizieren

Originalartikel von Joie Salvio, Threat Response Engineer

Die Schadsoftware-Familie ROVNIX kann über einen Makro-Downloader verteilt werden. Den Bedrohungsforschern von Trend Micro zufolge ist diese Technik bislang nur von der DRIDEX-Malware bekannt, dem Nachfolger der Banking-Schadsoftwae CRIDEX. Es ist zwar eine ziemlich alte Infektionsmethode, doch funktionieren bösartige Makros offenbar sehr gut, auch bei fortschrittlichen Verteidigungsmaßnahmen.
Weiterlesen

POWELIKS mit neuem Autostart-Mechanismus

Originalartikel von Roddell Santos, Threats Analyst

POWELIKS‘ Schadsoftware-Routinen waren bislang dafür bekannt, als Verschleierungstaktik den bösartigen Code in den Registry-Einträgen zu verstecken. In neueren Samples hat Trend Micro nun festgestellt, dass Malware (TROJ_POWELIKS.B) einen neuen Autostart-Mechanismus einsetzt und in der Registry Nutzerprivilegien löscht. Als Folge können User keinen Verdacht mehr schöpfen, wenn ihre Systeme infiziert sind.
Weiterlesen

Schwarze Magie: Windows PowerShell erneut bei Angriffen verwendet

Originalbeitrag von Maersk Menrige (Threat Analyst)

Die Windows-PowerShell®-Befehlszeile ist ein wertvolles Werkzeug zur Windows-Administration, das speziell für die Systemadministration entwickelt wurde. Es kombiniert die Schnelligkeit der Befehlszeile mit der Flexibilität einer Scripting-Sprache und unterstützt dadurch IT-Profis bei der Automatisierung von Aufgaben zur Administration des Windows-Betriebssystems und seiner Anwendungen.

Unglücklicherweise haben sich Cyberkriminelle vor kurzem einmal mehr dieser leistungsstarken Scripting-Sprache bedient. Wir haben einen Angriff gefunden, der mit einer E-Mail-Nachricht begann, in der ein angeblicher „Medizinischer Untersuchungsbericht“ angepriesen wurde. Der E-Mail-Versender tarnte sich als Duo Wei Times, eine chinesische Zeitung mit Sitz in den USA. Die E-Mail hatte eine Archivdatei als Anhang, die eine bösartige .LNK- oder Shortcut-Datei enthielt. Der .LNK-Anhang, in dessen Eigenschaften sich Windows PowerShell-Befehle fanden, wird von Trend Micro als LNK_PRESHIN.JTT erkannt. Dieser Code nutzte die Windows-PowerShell-Befehlszeile, um Dateien herunterzuladen sowie Ausführungsregeln zu umgehen, um die heruntergeladene Datei starten zu können.
Weiterlesen