Malwarebytes hat eine neue Hacking-Kampagne entdeckt, bei der eine dateilose Schadsoftware zum Einsatz kommt. Sie nutzt verschiedene Techniken, um einer Erkennung durch Sicherheitsanwendungen zu entgehen. Unter anderem schleust sie zu dem Zweck Code in die ausführbare Datei der Windows-Fehlerberichterstattung ein.
Dieser Code wiederum lägt ein .NET-Objekt direkt in den Arbeitsspeicher des nun infizierten Windows-Systems. Die Binärdatei wiederum startet den Forschern direkt aus dem Arbeitsspeicher heraus, ohne irgendwelche Spuren auf einem Massenspeicher zu hinterlassen, indem Shellcode in den Prozess er Windows-Fehlerberichterstattung eingeschleust wird.
Als weitere Vorsichtsmaßnahme prüft der schädliche Fehlerberichtserstattungsprozess, ob beispielsweise ein Debugger aktiv ist oder ober er in einer virtuellen Maschine läuft – Zeichen, die auf eine mögliche Untersuchung von Sicherheitsforschern hinweisen. Erst nachdem diese Kontrollen erfolgreich durchlaufen wurden, setzt die Schadsoftware ihren Angriff fort und entschlüsselt den finalen Schadcode, der in einem neuen Thread der Fehlerberichterstattung startet. Eine Analyse dieses finalen Schadcodes war Malwarebytes bisher nicht möglich, weil die Domain, die den Code hostet, derzeit nicht erreichbar ist.
Die Technik, Code in der Windows-Fehlerberichterstattung zu verstecken, ist dem Bericht zufolge nicht neu. Sie soll auch der Cerber-Ransomware sowie dem Remote Access Trojan NetWire helfen, einer Erkennung zu entgehen.
Wer hinter der neuen Kampagne steckt, konnten die Forscher ebenfalls nicht ermitteln. Einige Indikatoren sollen jedoch auf eine vom vietnamesischen Staat unterstützte Gruppe hinweisen, die als APT32 oder OceanLotus beziehungsweise SeaLotus bekannt ist. Diese Gruppe ging zuletzt unter anderem gegen ausländische Unternehmen vor, die in Vietnam investieren. Ihnen werden aber auch Einbrüche bei Medienfirmen und Menschenrechtsorganisationen weltweit zugesprochen.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
