- Anzeigen -


Sie sind hier: Home » Virenwarnung » Aktuelle Meldungen

Versteckte USB-Malware


Trojaner mit Tarnkappe: "USB Thief" stiehlt Daten von vermeintlich sicheren air-gapped Systemen und bleibt unerkannt
Malware hinterlässt keine Spuren: Der Trojaner kann als Plug-In oder als Dynamic Link Library (Programmbibliothek) auf dem Datenspeicher gesichert werden - Mit diesem Verfahren läuft die Malware als Hintergrundprozess auf dem Speichersystem

- Anzeigen -





Eset hat einen neuen Trojaner entdeckt. Die Malware Win32/PSW.Stealer.NAI, vereinfacht "USB Thief" genannt, nutzt ausschließlich USB-Sticks zur Verbreitung. Mit dieser tückischen Vorgehensweise werden keine Spuren auf dem infizierten Computer hinterlassen. Die Entwickler haben zudem einen ausgetüftelten Schutzmechanismus entwickelt, der den Trojaner vor Vervielfältigung und Reproduzierung schützt. So ist er schwieriger zu analysieren und kann kaum ausfindig gemacht werden.

"Neben der Verbreitungsmethode direkt von einem USB-Stick aus, sorgt auch die Struktur für Aufsehen. Eine AES-128-Verschlüsselung und einen Schlüssel, der aus der USB ID generiert wird, sieht man nicht alle Tage bei einem USB-Trojaner", sagt Raphael Labaca Castro, Security Researcher bei Eset.

"Offenbar wurde diese Malware für gezielte Angriffe auf Systeme entwickelt, die nicht mit dem Internet verbunden sind", so Tomáš Gardoň, Malware Analyst bei Eset. bei Eset.USB Thief wird nur auf USB-Sticks ausgeführt und hinterlässt keinerlei Spuren. Sobald der USB-Stick aus dem Computersystem entfernt wird, gibt es keine Beweise mehr für einen Datendiebstahl. Geschädigte Opfer merken so nicht einmal, dass ihre Daten gestohlen wurden. USB Thief verbreitet sich nicht über das infizierte System – was sehr ungewöhnlich für einen Trojaner ist. Obendrein nutzt die Malware eine mehrstufige Verschlüsselung, die an den USB-Stick gebunden ist. Dadurch gestaltet sich die Analyse des Schädlings als äußerst kompliziert.

Ungewöhnliche Vorgehensweise
Der Trojaner kann als Plug-In oder als Dynamic Link Library (Programmbibliothek) auf dem Datenspeicher gesichert werden. Mit diesem Verfahren läuft die Malware als Hintergrundprozess auf dem Speichersystem. "Diese Vorgehensweise ist sehr ungewöhnlich und gleichzeitig auch sehr gefährlich. Nutzer sollten sich die möglichen Gefahren, die von externen Datenspeichern ausgehen können, bewusst machen. Vor allem wenn sie aus unbekannten Quellen stammen, ist Vorsicht geboten", fügt Tomáš Gardoň. hinzu.

Wie Untersuchungen von Eset zeigen, ist die Malware aktuell noch nicht weit verbreitet. Dennoch hat sie großes Potential für zielgerichtete Attacken, insbesondere auf Computersysteme, die aus Sicherheitsgründen nicht mit dem Internet verbunden sind. (Eset: ra)

Eset: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Aktuelle Meldungen

  • GandCrab-Verschlüsselungstrojaner im Einsatz

    Neues Jahr, neue Ransomware-Welle: Mit einer Version von GandCrab werden derzeit gezielt Personalverantwortliche angegriffen. Dabei sollen Nutzer mit einem Trick dazu gebracht werden, den infizierten Anhang zu aktivieren. Betrüger versuchen derzeit erneut, Personalabteilungen mit Ransomware zu infizieren. Dabei kommt eine Version des GandCrab-Verschlüsselungstrojaners zum Einsatz. Anders als im September 2018 wird eine Bewerbung im Word-Format verschickt und keine eigentlich unübliche exe-Datei. Die Betreffzeile der E-Mails lautet derzeit "Bewerbung auf die angebotene Stelle." Für die angeblichen Bewerbungen werden, wie meist üblich, Frauennamen verwendet.

  • Malware verlangt Lösegeld in Kryptowährung

    Die Forscher von McAfee gaben die Entdeckung einer neuen Ransomware-Familie, "Anatova", bekannt. Die Ransomware wurde in einem privaten Peer-to-Peer (p2p)-Netzwerk entdeckt und zielt auf Verbraucher weltweit ab, indem sie das Symbol eines Spiels oder einer Application verwendet, um den Benutzer zum Herunterladen zu verleiten.

  • Malware-Verbreitung über Spam-Kampagne

    Nach einer relativen ruhigen Phase startet Emotet eine neue Spam-E-Mail-Kampagne. Darin setzen die Cyberkriminellen auf schädliche Word- und PDF-Anhänge, die als Rechnungen, Zahlungsbenachrichtigungen, Bankkontenwarnungen usw. getarnt sind und von scheinbar legitimen Organisationen stammen. Anstelle von Anhängen enthalten die Spam-E-Mails alternativ schädliche Links. Die in der Kampagne verwendeten E-Mail-Betreffe legen eine Ausrichtung auf englisch- und deutschsprachige User nahe. Eset-Sicherheitsprodukte erkennen und blockieren alle Emotet-Komponenten unter den im IoCs-Abschnitt aufgeführten Erkennungsnamen.

  • Vertraulichen Banking-Informationen

    Eset warnt vor der neu entdeckten Banking Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

  • Nahezu jeder Browser betroffen

    Eset warnt vor der neu entdeckten Banking-Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking-Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript-Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.