Malwarebytes hat eine neue Hacking-Kampagne entdeckt, bei der eine dateilose Schadsoftware zum Einsatz kommt. Sie nutzt verschiedene Techniken, um einer Erkennung durch Sicherheitsanwendungen zu entgehen. Unter anderem schleust sie zu dem Zweck Code in die ausführbare Datei der Windows-Fehlerberichterstattung ein.
Dieser Code wiederum lägt ein .NET-Objekt direkt in den Arbeitsspeicher des nun infizierten Windows-Systems. Die Binärdatei wiederum startet den Forschern direkt aus dem Arbeitsspeicher heraus, ohne irgendwelche Spuren auf einem Massenspeicher zu hinterlassen, indem Shellcode in den Prozess er Windows-Fehlerberichterstattung eingeschleust wird.
Als weitere Vorsichtsmaßnahme prüft der schädliche Fehlerberichtserstattungsprozess, ob beispielsweise ein Debugger aktiv ist oder ober er in einer virtuellen Maschine läuft – Zeichen, die auf eine mögliche Untersuchung von Sicherheitsforschern hinweisen. Erst nachdem diese Kontrollen erfolgreich durchlaufen wurden, setzt die Schadsoftware ihren Angriff fort und entschlüsselt den finalen Schadcode, der in einem neuen Thread der Fehlerberichterstattung startet. Eine Analyse dieses finalen Schadcodes war Malwarebytes bisher nicht möglich, weil die Domain, die den Code hostet, derzeit nicht erreichbar ist.
Die Technik, Code in der Windows-Fehlerberichterstattung zu verstecken, ist dem Bericht zufolge nicht neu. Sie soll auch der Cerber-Ransomware sowie dem Remote Access Trojan NetWire helfen, einer Erkennung zu entgehen.
Wer hinter der neuen Kampagne steckt, konnten die Forscher ebenfalls nicht ermitteln. Einige Indikatoren sollen jedoch auf eine vom vietnamesischen Staat unterstützte Gruppe hinweisen, die als APT32 oder OceanLotus beziehungsweise SeaLotus bekannt ist. Diese Gruppe ging zuletzt unter anderem gegen ausländische Unternehmen vor, die in Vietnam investieren. Ihnen werden aber auch Einbrüche bei Medienfirmen und Menschenrechtsorganisationen weltweit zugesprochen.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
