Meldung

Neue Malware vereint Fähigkeiten zweier Formen von Schadsoftware

Sicherheitsexperten von Proofpoint haben eine neue Malware namens DTPacker identifiziert, die bei dutzenden Kampagnen verschiedener cyberkrimineller Gruppen zum Einsatz kam. Bei dieser Schadsoftware handelt es sich um einen Hybrid aus Packer und Downloader, der zur Verbreitung verschiedener anderer Malware-Typen genutzt wird, darunter Remote-Access-Trojaner und Information Stealer.
DTPacker ist Packer und Download gleichzeitig. Der Schädling verschleiert zudem eine Anwesenheit.
Üblicherweise lassen sich Packer und Downloader durch den Speicherort der eigentlichen Payload unterscheiden. Während bei einem Packer die Payload bereits eingebettet ist, wird sie im Falle eines Downloaders – wie der Name bereits verrät – erst aus dem Internet nachgeladen. Die nun von Proofpoint entdeckte und analysierte Malware, DTPacker, vereint hingegen diese beiden Fähigkeiten. Zudem nutzt die Schadsoftware verschiedene Verschleierungstechniken, um Antivirenprogramme, Sandboxing und Analysen von Security-Experten zu umgehen.

Proofpoint [1] konnte nach eigenen Angaben beobachten, dass die Malware seit 2020 in mehreren Kampagnen verbreitet wurde, die mit verschiedenen Cybercrime-Gruppen wie TA2536 (Threat Actor 2536) und TA2715 in Verbindung gebracht werden können. Ziel der Cyberkampagnen war es, Opfer mit verschiedenen RAT und Information Stealern wie Agent Tesla, Ave Maria, AsyncRAT und FormBook zu infizieren. Dabei wurden tausende Nachrichten versendet, die auf hunderte Unternehmen unterschiedlichster Branchen abzielten.

Bei der Mehrzahl dieser Kampagnen erfolgt die Verbreitung von DTPacker mittels Dateianhängen in E-Mails. Hierbei präparieren die Cyberkriminellen Office-Dokumente bzw. eine komprimierte ausführbare Datei und versenden diese als Anhang zu ihren Angriffs-Mails. Sobald ein Empfänger diese Dateien öffnet, wird die ausführbare Datei des Packers geladen. In der Folge dekodiert die Malware eine eingebettete oder heruntergeladene Ressource in eine DLL, die die eigentliche Malware-Payload enthält, und führt diese sodann aus.

Ab März 2021 konnte Proofpoint zudem Versionen der Malware beobachten, bei denen als Downloadressource der Payload im Quellcode URLs genutzt wurden, deren Domains zu gefälschten Webseiten von Fußballvereinen bzw. deren Fans führten. Als Vorlage diente den Cyberkriminellen hier insbesondere die Homepage des FC Liverpool.
24.01.2022/dr

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen