Hacker haben offenbar Zugriff auf eine Malware, die ursprünglich für staatliche Spionagezwecke entwickelt wurde. Der Sicherheitsfirma Sentinel Labs zufolge modifizieren sie die „Gyges“ genannte Schadsoftware, um sie als Rootkit oder Ransomware einzusetzen.
Gyges wurde nach Angaben des Unternehmens im März entdeckt. Ursprungsland sei wahrscheinlich Russland. Gyges sei „praktisch unsichtbar“ und könne über einen langen Zeitraum agieren, ohne entdeckt zu werden.
„Es ist für uns keine Überraschung, dass diese Art von staatlicher Spionage-Malware irgendwann in die Hände von Cyberkriminellen gefallen ist“, heißt es in dem Untersuchungsbericht. „Gyges ist ein erstes Beispiel dafür, wie fortschrittliche Techniken und Code, die von Regierungen für Spionage entwickelt wurden, tatsächlich einem neuen Zweck zugeführt, modularisiert und mit anderer Malware gebündelt werden, um Internetverbrechen zu begehen.“
Man sei zwar in der Lage gewesen, Gyges mit geräteinternen heuristischen Sensoren zu entdecken, viele Intrusion-Prevention-Systeme könnten dies jedoch nicht, so Sentinel Labs weiter. Die Malware verwende ausgeklügelte Techniken, um einer Erkennung zu entgehen, sowie weniger bekannte Techniken, um in ein System einzudringen. Sie werde tätig, sobald der Nutzer seine Arbeit einstelle. Viele andere Schadprogramme würden hingegen aktiv, sobald der Nutzer seine Arbeit beginne. Gyges versuche so, eine Erkennung durch Sandbox-basierte Sicherheitstools zu verhindern.
Gyges setzt zudem eine Hooking-Bypass genannte Technik ein, die einen Fehler in der Log-Funktion von Windows 7 und 8 ausnutzt. Zudem kann sich die Malware vor Debugging und Reverse-Engineering schützen. Eine weitere Schutzvorrichtung namens Yoda verwischt alle Aktivitäten, indem sie sie in mehrere Bereiche aufteilt.
Sentinel Labs zufolge wurde Gyges möglicherweise schon zusammen mit einer Ransomware eingesetzt. Es sei auch denkbar, Schadcode für Keylogger, die Erstellung von Screenshots und Datendiebstahl gemeinsam mit Gyges in ein System einzuschleusen. Andere, weniger weit entwickelte Schadsoftware könne in Kombination mit Gyges höhere Infektionsraten und auch eine höhere Verweildauer auf einem System erreichen. Gerade im Zusammenhang mit einer Ransomware könne Gyges Hackern helfen, Geld von ihren Opfern zu erpressen.
„Die Gyges-Variante zeigt nicht nur, dass Malware immer ausgereifter wird, sondern auch, dass die Grenzen zwischen staatlicher Malware und Mainstream-Schadcode immer weiter verwischen“, teilte Sentinel Labs mit. Die Tatsache, dass sich ein „Carrier“-Schadcode mit jeder anderen Art von Malware kombinieren lasse, um im Verborgenen Angriffe durchzuführen, sei ein weiterer Hinweis darauf, dass die derzeitigen Sicherheitsansätze für die Erkennung fortschrittlicher Bedrohungen nicht mehr ausreichend seien.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.