it-sicherheit.li

News rund um IT-Sicherheit

Schlagwort: Trojaner

Hit me Baby one more time

Das grösste Problem von Hackern ist neben „wie komme ich auf den Client“ auch, „wie kommuniziere ich mit meinen C&C Servern“

 

Sicherheitsforscher von Eset haben herausgefunden wie es die Hackergruppe Turla macht. Ihr Trojaner benutzt unter anderem den Instagram Account von Britney Spears.

Die Hacker von Turla infizieren den Browser Ihrer Opfer mit einer Firefox Extenstion. Mit dieser Erweiterung können Sie die Computer der betroffenen Personen komplett übernehmen.  Die Erweiterung gibt sich als vermeintliche Sicherheitssoftware aus und wird so freiwillig von den Benutzern heruntergeladen somit ist die erste Frage „wie komme ich auf den Client“ erledigt. Bleibt noch die zweite Frage offen.

Instagram

 

Durch einfache Kommentare auf Sozialen Netzwerken wie dem Instagram Account von Britney Spears. Mittels ein wenig Programmiermagie verbreiten die Hacker anschliessend die URL der C&C Server, als Kommentare getarnt.

Der Trojaner liest diese Kommentare aus und ermittelt daraus die URL der C&C Server.

 

So ist z.B. dieser Kommentar: #2hot make loved to her, uupss #Hot #X (inklusive der in Instagram unsichtbaren Unicode Zeichen) konvertiert, folgende URL http://bit.ly/2kdhuHX

Diese URL führt zu kompromittierten Servern von Botschaften oder Stadtverwaltungen.

Edit:

Dieser Link wurde von bit.ly bereits deaktiviert. Vermutlich werden jedoch schon neue Links im Umlauf sein.

Laut den Sicherheitsforscher ist eines der Add-Ins fr Firefox, welches diese Backdoor öffnet folgendes.

Turla

 

Bei diesem Update vom 13 April 2017 wird die Backdoor implementiert.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Phantom der Windows Updates

Fantom Ransomware Header

Windows Updates sind was gutes. Sie schliessen Sicherheitslücken und geben uns neue Features.

Doch es geht auch anders. Ein neuer Erpressertrojaner gibt sich als Sicherheitsupdate für Windows aus und wiegt so die Benutzer in Sicherheit.

Wie BleepingComputer berichtet basiert der Trojaner auf dem EDA2 Ransomware Projekt. Durch die Ransomware wird ein gefälschtes Windows Update Bild eingeblendet, man vermutet dass Windows Updates installiert werden.

Fake Windows Update Screen

Die Prozent anzeige funktioniert sogar wirklich, es wird angezeigt wie viel Prozent Daten bereits verschlüsselt wurden.

Sogar die Datei Eigenschaften geben an dass es sich um ein Windows Update handelt.

File Properties

Wenn der Trojaner ausgeführt wird. öffnet dieser ein Programm das WindowsUpdate.exe Heist, dieses generiert den oben gezeigten Update-Screen und überdeckt somit alle Aktivitäten im Hintergrund. Mit CTRL+F4 kann der Update-Screen geschlossen werden und man erhält die normale Windows Oberfläche wieder, der Trojaner verschlüsselt jedoch weiterhin sämtliche Daten.

Die verschlüsselten Dateien werden mit der Erweiterung .fantom versehen.

Zum Abschluss erscheint die alt bekannte Mitteilung der „Erpresserbrief“

Ransom Note

 

Ebenfalls wird die Datei DECRYPT_YOUR_FILES.HTML in jedem Ordner mit verschlüsselten Dateien abgelegt und die Schattenkopien sowie das gefakte Update gelöscht.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Dridex erneut auf Beutezug

Quelle: MELANI

Wie die Melde- und Analysestelle fürInformationssicherheit MELANI meldet sind wieder vermehrt Fälle von Dridex Infektionen gemeldet worden.

Dridex wendet sich an Offline-Zahlungsprogramme und benutzt diese um Überweisungen an dritte zu tätigen.

Bei den gemeldeten Fällen wurde versucht, gleich mehrere Zahlungen innerhalb kürzester Zeit zu tätigen.

Verbreitet wird Dridex vor allem über Mails mit  Office Dokumente welche mit Makros versehen sind und von vermeintlichen legitimen Absendern kommen.

Nach der Infektion sucht der Trojaner nach Offline Zahlungs-Software. Findet Dridex solche Software wird weitere Schadsoftware aus dem Internet nachgeladen, diese führt die Zahlungen schlussendlich aus.

Software folgender Hersteller ist betroffen:

Abacus
Abrantix
Alphasys
Argo-Office
Bellin
Cashcomm
CoCoNet
Crealogix
Epsitec
financesuite
Financesuite
Macrogram
Mammut
Mmulticash
Moneta
Multiversa
Myaccessweb
Omikron
Quatersoft
Softcash
Softcrew
Starmoney
Trinity

Die Tipps von MELANI zur Prävention sind:

  • Verwenden Sie für offline Zahlungs-Software und eBanking einen dedizierten Computer, auf welchem Sie nicht im Internet surfen oder Emails empfangen.
  • Verwenden Sie für die Visierung von Zahlungen eine Kollektivunterschrift über einen Zweitkanal (z.B. eBanking). Erkundigen Sie sich bei Ihrer Bank über entsprechende Möglichkeiten.
  • Falls Sie einen Hardware-Token (z.B. Smart Card, USB-Dongle) verwenden, entfernen Sie diesen nach Gebrauch der Zahlungs-Software.
  • Speichern Sie Zugangsdaten (Vertragsnummer, Passwort, etc.) für eBanking und Zahlungs-Software nicht auf dem Computer bzw. in der Software.
  • Erkundigen Sie sich beim Hersteller Ihrer Zahlungs-Software über zusätzliche Sicherheitsmassnahmen und aktivieren Sie die automatischen Softwareupdates.
  • Melden Sie verdächtige Zahlungen umgehend Ihrer Bank. 

Um eine Infektion mit Dridex und anderer Schadsoftware in Ihrem Unternehmen zu verhindern, empfiehlt MELANI zudem folgende Massnahmen:

  • Stellen Sie sicher, dass potenziell schädliche Email Anhänge bereits auf Ihrem Email-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche Email Anhänge verwenden unter anderem folgende Dateieendungen:

            .js (JavaScript)
            .jar (Java)
            .bat (Batch file)
            .exe (Windows executable)
            .cpl (Control Panel)
            .scr (Screensaver)
            .com (COM file)
            .pif (Program Information File)
            .vbs (Visual Basic Script)
            .ps1 (Windows PowerShell)
            .wsf (Windows Script File) 
            .docm (Microsoft Word mit Makros)
            .xlsm (Microsoft Excel mit Makros)
            .pptm (Microsoft PowerPoint mit Makros)         

  • Versichern Sie sich, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in geschützen Archiv-Dateien (z.B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge mit Makros). 

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

© 2024 it-sicherheit.li

Theme von Anders NorénHoch ↑