Sicherheitsforscher: Hacker nutzen für staatliche Spionage entwickelte Malware

Hacker haben offenbar Zugriff auf eine Malware, die ursprünglich für staatliche Spionagezwecke entwickelt wurde. Der Sicherheitsfirma Sentinel Labs zufolge modifizieren sie die „Gyges“ genannte Schadsoftware, um sie als Rootkit oder Ransomware einzusetzen.

Gyges wurde nach Angaben des Unternehmens im März entdeckt. Ursprungsland sei wahrscheinlich Russland. Gyges sei „praktisch unsichtbar“ und könne über einen langen Zeitraum agieren, ohne entdeckt zu werden.

„Es ist für uns keine Überraschung, dass diese Art von staatlicher Spionage-Malware irgendwann in die Hände von Cyberkriminellen gefallen ist“, heißt es in dem Untersuchungsbericht. „Gyges ist ein erstes Beispiel dafür, wie fortschrittliche Techniken und Code, die von Regierungen für Spionage entwickelt wurden, tatsächlich einem neuen Zweck zugeführt, modularisiert und mit anderer Malware gebündelt werden, um Internetverbrechen zu begehen.“

Man sei zwar in der Lage gewesen, Gyges mit geräteinternen heuristischen Sensoren zu entdecken, viele Intrusion-Prevention-Systeme könnten dies jedoch nicht, so Sentinel Labs weiter. Die Malware verwende ausgeklügelte Techniken, um einer Erkennung zu entgehen, sowie weniger bekannte Techniken, um in ein System einzudringen. Sie werde tätig, sobald der Nutzer seine Arbeit einstelle. Viele andere Schadprogramme würden hingegen aktiv, sobald der Nutzer seine Arbeit beginne. Gyges versuche so, eine Erkennung durch Sandbox-basierte Sicherheitstools zu verhindern.

Gyges setzt zudem eine Hooking-Bypass genannte Technik ein, die einen Fehler in der Log-Funktion von Windows 7 und 8 ausnutzt. Zudem kann sich die Malware vor Debugging und Reverse-Engineering schützen. Eine weitere Schutzvorrichtung namens Yoda verwischt alle Aktivitäten, indem sie sie in mehrere Bereiche aufteilt.

Sentinel Labs zufolge wurde Gyges möglicherweise schon zusammen mit einer Ransomware eingesetzt. Es sei auch denkbar, Schadcode für Keylogger, die Erstellung von Screenshots und Datendiebstahl gemeinsam mit Gyges in ein System einzuschleusen. Andere, weniger weit entwickelte Schadsoftware könne in Kombination mit Gyges höhere Infektionsraten und auch eine höhere Verweildauer auf einem System erreichen. Gerade im Zusammenhang mit einer Ransomware könne Gyges Hackern helfen, Geld von ihren Opfern zu erpressen.

„Die Gyges-Variante zeigt nicht nur, dass Malware immer ausgereifter wird, sondern auch, dass die Grenzen zwischen staatlicher Malware und Mainstream-Schadcode immer weiter verwischen“, teilte Sentinel Labs mit. Die Tatsache, dass sich ein „Carrier“-Schadcode mit jeder anderen Art von Malware kombinieren lasse, um im Verborgenen Angriffe durchzuführen, sei ein weiterer Hinweis darauf, dass die derzeitigen Sicherheitsansätze für die Erkennung fortschrittlicher Bedrohungen nicht mehr ausreichend seien.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

1 Tag ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

1 Tag ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

2 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

2 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

2 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

3 Tagen ago