Die Counter Threat Unit (CTU) der Dell-Tochter SecureWorks hat eine bisher unbekannte modulare Schadsoftware entdeckt. Sie versteckt Schadcode in Bildern und ist in der Lage, unter anderem Passwörter und Standortdaten zu stehlen. Die Nutzung von digitaler Steganographie erschwert es herkömmlichen Sicherheitstools, die Malware zu erkennen.
Die als Stegoloader bezeichnete Malware-Familie ist laut CTU mindestens seit 2013 aktiv. Bisher wurde sie über illegale Softwarekopien und Schlüsselgeneratoren für Kaufsoftware verteilt. Nach der Installation lade Stegoloader ein Foto im PNG-Format von einer legitimen Website herunter und extrahiere den darin enthaltenen Code, um sein Hauptmodul auszuführen.
Weitere Module des Schadprogramms fragen die öffentliche IP-Adresse eines infizierten Rechners ab oder greifen auf die Listen der zuletzt besuchten Websites und geöffneten Dokumente zu. Das modulare Design erschwert es den Sicherheitsexperten zufolge zudem, die wahren Motive der Angreifer zu erkennen.
Bisher wurde Stegoloader offenbar für Angriffe auf den Gesundheits- und Bildungssektor sowie Industriebetriebe eingesetzt. Die Forscher vermuten, dass es den Hintermännern in erster Linie um persönliche Informationen ging, die sie für künftige Attacken verwenden können.
Einer Host- und Netzwerk-basierten Erkennung entgeht Stegoloader, weil die Malware keine Dateien auf der Festplatte speichert und vollständig im Hauptspeicher ausgeführt wird. Derartiges Verhalten sei bisher nur bei den Malware-Familien Lurk und Neverquest beobachtet worden, so die Forscher.
„Stegoloader entgeht Analyse-Tools und installiert nur die notwendigen Module, ohne sie auf der Festplatte zu speichern“, schreiben die Forscher in ihrem Bericht. „Es gibt wahrscheinlich mehr Stegoloader-Module, als CTU-Forscher bisher entdeckt haben. Sie werden möglicherweise von den Hintermännern benutzt, um Zugang zu weiteren Ressourcen zu erhalten.“ Bisher sei Stegoloader zwar noch nicht für zielgerichtete Attacken eingesetzt worden, die Malware verfüge aber über vielfältige Funktionen zum Diebstahl von Informationen.
[mit Material von Steve McCaskill, TechWeekEurope]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
