Der Sicherheitsanbieter Cybereason beschreibt in seinem Blog eine neue Variante des Trojaners Astaroth, der anfällige Prozesse von Antivirensoftware nutzen kann, um Anmeldedaten oder andere persönliche Informationen zu stehlen. Derzeit wird die Malware bei Spam-Kampagnen in Brasilien und Europa eingesetzt. Die Verbreitung erfolgt über Dateianhänge im 7Zip-Format und schädliche Links.
Frühere Versionen von Astaroth suchten auf einem System nach Antivirenprogrammen und stellten ihren Angriff ein, falls sie auf Produkte von Avast stießen. Die neue Version hingegen missbraucht die Avast Software Runtime aswrundll.exe zur Ausführung von DLL-Dateien.
Als Folge kann der Trojaner Daten über das infizierte System stehlen, die Zwischenablage auslesen und alle Tastatureingaben abfangen. Außerdem ist der Schädling in der Lage, andere Prozesse zu beenden.
Dieser Missbrauch einer Sicherheitsanwendung wird auch als „Living off the Land Binaries“ (LOLbins) bezeichnet. „Wir gehen davon aus, dass die Nutzung von WMIC und LOLbins zunehmen wird“, sagte Cybereason. Das große Potential von LOLbins mache es sehr wahrscheinlich, dass auch andere Schadprogramme auf diese Methode zurückgreifen werden, um Systeme zu infizieren.
Avast betont, dass es sich bei dem Missbrauch seiner Software nicht um eine Injektion von Schadcode oder eine nicht autorisierte Ausweitung von Nutzerrechten handelt. „Installierte Avast-Binärdateien verfügen über Selbstschutzmechanismen, um Injektionen zu vermeiden. In diesem Fall verwenden sie eine Avast-Datei, um eine Binärdatei in ähnlicher Weise auszuführen, wie eine DLL unter Windows von der rundll32.exe ausgeführt wird.“ Zudem seien alle Avast-Lösungen in der Lage, die neue Astaroth-Variante zu erkennen und Nutzer davor zu schützen. „Darüber hinaus werden wir Änderungen an unserer Umgebung vornehmen, um sicherzustellen, dass derselbe Prozess in Zukunft nicht auf diese Weise missbraucht werden kann.“
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
