Quant-Trojaner nimmt Kryptowährungen ins Visier

Forscher von Forcepoint Security Labs haben eine neue Variante des Trojaners Quant entdeckt. Ein vor kurzem veröffentlichtes Update soll die Malware um einige „beunruhigende“ Funktion erweitern. Unter anderem soll sie nun in der Lage sein, die Anmeldedaten für Online-Geldbörsen von Kryptowährungen auszuspähen, um die darin enthaltenen Bitcoins zu stehlen.

Im vergangenen Jahr beschrieben die Forscher Quant als einen sehr simplen Trojaner zur Verteilung der Ransomware Locky und der Malware-Familie Pony. Nun entdeckten die Forscher jedoch ein neues Administrationstool für Quant auf einer neu registrierten Domain sowie die jüngsten Muster der Malware. Sie beziehen nun automatisch zusätzliche Dateien von einem Befehlsserver im Internet.

Die erste Datei namens Bs.dll.c ist ein Cryptocurrency Stealer. Zs.dll.c wiederum hat die Aufgabe, Anmeldedaten zu stehlen und Sql.dll.c ist eine dafür benötigte SQLite-Bibliothek. Der Cryptocurrency Stealer sucht im Anwendungsverzeichnis des Opfers nach unterstützten Geldbörsen (Bitcoin, Terracoin, Peercoin und Primecoin) und verschickt gefundene Daten an die Angreifer. Der Credential Stealer wiederum ist hinter Anmeldedaten für Anwendungen und das Betriebssystem her. Auch er überträgt alle gefundenen Informationen an den Befehlsserver der Hintermänner.

Die Forscher fanden auch heraus, dass Quant in russischen Untergrund-Foren von einem Nutzer namens „MrRaiX“ oder „DamRaiX“ angeboten wird. Fünf Lizenzen des Trojaners sollen dort derzeit 275 Dollar kosten, inklusive der Module zum Stehlen von Kryptowährungen und Anmeldedaten. Die Module seien aber auch separat erhältlich. Ersteres koste 100 Dollar zuzüglich 15 Dollar pro Update, Letzteres 100 Dollar inklusive aller Updates oder 55 Dollar zuzüglich 15 Dollar pro Update.

Eine weitere Neuerung von Quant sei ein Schlaf-Befehl, der eine Entdeckung durch Antivirenprogramme sowie eine Analyse in Sandbox-Umgebungen erschweren solle, ergänzten die Forscher. Dieser relativ alte Trick werde aber inzwischen von einigen Sicherheitslösungen erkannt, darunter Kaspersky Internet Security, Panda Firewall, Norton Security, Dr. Web Firewall, Bitdefender und Bullguard.

Darüber hinaus nutze Quant einen ShellExecuteEx genannten Trick, um die Benutzerkontensteuerung von Windows zu umgehen. Unter bestimmten Umständen beziehungsweise in Abhängigkeit von den Einstellungen der Benutzerkontensteuerung sei die Malware in der Lage, höhere Rechte zu erlangen, ohne dass die Benutzerkontensteuerung davor warne. Die Hintermänner von Quant bezeichneten diese Funktion in Anzeigen für die Malware als „Privilege Escalation“.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago