Die Hintermänner der Malware TrickBot haben einen neue Funktion für ihre Schadsoftware entwickelt. Sie könnte es ihnen erlauben, mit dem BIOS oder der UEFI-Firmware eines infizierten Computers zu interagieren. Erstmals entdeckt wurde die neue Funktion Ende Oktober in einem neuen TrickBot-Modul.
Die Forscher warnen aber auch, dass ein erfolgreicher Eingriff in BIOS oder UEFI-Firmware ein Gerät lahmlegen könnte. Auch sei es möglich, Sicherheitsvorkehrungen wie BitLocker, Credential Guard, ELAM oder Windows 10 Virtual Secure Mode auszuhebeln. Die Kontrolle über BIOS und UEFI könnte aber auch den Weg für weitere Angriffe ebnen, indem die Hacker beispielsweise Microcode-Update rückgängig machen, die CPU-Sicherheitslücken wie Spectre schließen.
Bisher ist den Forschern zufolge ein erfolgreicher Eingriff in BIOS oder UEFI-Firmware nicht möglich. Das neue Modul prüfe lediglich den SPI-Controller, um herauszufinden, ob der Schreibschutz für das BIOS aktiv ist oder nicht. Veränderungen an der Gerätesoftware konnten die Forscher indes noch nicht nachweisen. „Allerdings verfügt die Malware bereits über den Code, um Firmware zu lesen, zu schreiben und zu löschen“, ergänzten sie.
Die Forscher gehen davon aus, dass die Hintermänner von TrickBot die derzeit noch fehlende Funktionalität nachrüsten werden. Sie würde ihnen die Möglichkeit geben, sich dauerhaft in bestimmte Netzwerke einzunisten, um den Zugang beispielsweise für Cryptomining und anschließend auch noch Angriffe mit Ransomware bereitzustellen. Interneterpresse bekämen indes ein weiteres Druckmittel: Sie könnten nicht nur verschlüsselte und gestohlene Daten in die Waagschale werfen, sondern auch noch mit der Zerstörung von Hardware drohen.
Den Sicherheitsanbietern zufolge ist TrickBot zudem die erste Schadsoftware, die ausschließlich finanzielle Ziele verfolgt, die auch in BIOS und UEFI-Firmware eingreifen kann. Diese Funktion sei zuvor nur bei staatlich gesponserter Schadsoftware beobachtet worden. Eclypsium weist in dem Zusammenhang darauf hin, dass die Hintermänner von TrickBot den benötigten Code nicht selbst entwickelt haben. Stattdessen sollen zu auf einen Treiber namens RwDrv.sys zurückgreifen, der zu einem RWEverything genannten Tool gehört.
Die neue Funktion könnte zudem eine Reaktion auf Versuche von US-Behörden sein, in Zusammenarbeit mit Microsoft die TrickBot-Operation abzuschalten. Nach dem gescheiterten Versuch hätten die Hintermänner zahlreiche neue Funktionen hinzugefügt, darunter eine neue Befehlsserver-Infrastruktur und neue Techniken zur Code-Verschleierung.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
