‚Fauxpersky‘ – neue Malware klaut Passwörter

Hochgradig effizient sei die neu entdeckte Malware, auch wenn der Schädling nicht besonders ausgefeilt ist. Neben der Visual-Basic-Alternative AutoHotKey kommt auch Google Form bei der Kampagne zu Einsatz.

Forscher berichten von einer neuen Malware, die darauf ausgerichtet ist, Passwörter und andere Eingaben aus einem angegriffenen Rechner an die Inbox eines Angreifers zu schicken. Die Malware sei laut den Sicherheitsexperten Cybereason zwar recht einfach gestrickt dafür aber um so erfolgreicher.

Das IT-Sicherheitsunternehmen Cybereason haben den Keylogger auch den Namen „Fauxpersky“ verliehen und damit auf den russischen Antiviren-Hersteller Kaspersky angespielt. Der Keylogger besteht aus der populären App AutoHotKey, über die Nutzer kleine Scripte schreiben können, um damit alltägliche Aufgaben zu automatisieren. In diesem Fall wurde das Programm genutzt, um damit den Keylogger zu schreiben und Windows-PCs zu infizieren und sich auch selbst auf den Festplatten eines infizierten PCs weiter zu verbreiten.

Dieser Splash-Screen gibt dem simpel gestrickten Keylogger den Namen Fuaxpersky  (Bild: Cybereason) Dieser Splash-Screen gibt dem simpel gestrickten Keylogger den Namen Fuaxpersky (Bild: Cybereason)

„Diese Malware ist keinesfalls besonders fortschrittlich oder gar stealthy“, gestehen Amit Serper und Chris Black, die in einem detaillierten Blog die Malware analysieren. Dennoch sei diese Malware hochgradig effizient beim infizieren von USB-Laufwerken und um aus dem Keylogger die Daten zu extrahieren und über Google an die Inbox des Angreifers zu schicken.

Sobald die Malware vollständig aufgerufen ist, werden sämtlich Eingaben, die auf dem Rechner getätigt werden mitgeschnitten und in einer Textdatei gespeichert. Neben den Eingaben speichert die Malware auch Metadaten, wie etwa den Namen des Fensters, in dem der Nutzer gerade arbeitet, um dem Angreifer ein besseres Verständnis über den Kontext der Nutzereingaben zu geben.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Diese Kontextinformationen werden aus dem Rechner über Google Form herausgefiltert. Anschließend wird die Datei auf dem Speicher des Rechners gelöscht. Und jeder Response geht direkt in die Inbox des Malware-Autors.

Google hat das bösartige Formular inzwischen gelöscht. Von Google aber gibt es derzeit noch keinen Kommentar darüber, welcher Nutzer dieses Formular angelegt hat. Der Autor soll aber keinen große Ehrgeiz entwickelt haben, um die eigene Malware als legitimes Programm zu tarnen.

Jedoch hatte der Autor zumindest versucht, einen Kaspersky-Splash-Screen zu erstellen. Daher auch der Name Fauxpersky. Über einen Shortcut im Start-Menü von Windows-Startup-Directory wird die Malware nach dem Start wieder aufgerufen. Von Cybereason gibt es derzeit noch keine Angaben darüber, wie weit die Malware verbreitet ist.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Themenseiten: Cybercrime, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu ‚Fauxpersky‘ – neue Malware klaut Passwörter

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *