- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Bösartiges Update installiert Fallchill-Trojaner


AppleJeus: Die Lazarus-Gruppe zielt auf Kryptowährungsbörsen mittels macOS-Malware
Gemäß der Analyse von Kaspersky Lab konnten die Angreifer in die Infrastruktur der Börse eindringen, als ein ahnungsloser Mitarbeiter eine Drittanwendung einer legitim scheinenden Webseite eines Unternehmens herunterlud, das Software für Kryptowährungshandel entwickelt

- Anzeigen -





Experten von Kaspersky Lab haben mit "AppleJeus" eine neue gefährliche Operation der berüchtigten Lazarus-Gruppe identifiziert. Den Angreifern gelang es, in das Netzwerk einer Kryptowährungsbörse in Asien einzudringen, indem sie Trojaner-Software zum Kryptowährungshandel einsetzten. Das Ziel war der Diebstahl von Kryptowährungen. Neben Windows-basierter Malware identifizierten die Cybersicherheitsexperten zudem eine bisher unbekannte Version für macOS.

Zum ersten Mal konnten Kaspersky-Experten beobachten, dass die Lazarus-Gruppe Malware verbreitet, die es auf macOS-Nutzer abgesehen hat – ein Weckruf für alle, die das Betriebssystem für Kryptowährungsaktivitäten nutzen. Gemäß der Analyse von Kaspersky Lab konnten die Angreifer in die Infrastruktur der Börse eindringen, als ein ahnungsloser Mitarbeiter eine Drittanwendung einer legitim scheinenden Webseite eines Unternehmens herunterlud, das Software für Kryptowährungshandel entwickelt.

Der Code der Anwendung ist zunächst nicht verdächtig, mit Ausnahme einer Komponente: einem Updater. Solche Komponenten werden in legitimer Software eingesetzt, um neue Programm-Versionen herunterzuladen. Im Fall von AppleJeus verhält es sich wie ein Ausspähmodul. Zuerst werden grundlegende Informationen über den Computer gesammelt, auf dem es installiert wurde, dann sendet es diese Informationen zurück an den Command-and-Control-Server. Entscheiden die Angreifer, dass der Computer ein lohnenswertes Ziel ist, wird der Schadcode in Form eines Software-Updates injiziert. Das bösartige Update installiert einen Trojaner namens "Fallchill", ein altbekanntes Tool, das die Lazarus-Gruppe nun wieder im Einsatz hat.

Aufgrund dessen war den Kaspersky-Experten eine erste Attribuierung möglich. Nach der Installation bietet der Fallchill-Trojaner den Angreifern nahezu unbegrenzten Zugriff auf den attackierten Computer, so dass sie wertvolle Finanzinformationen stehlen oder zusätzliche Tools für diesen Zweck einsetzen können.

Die Situation verschärfte sich dadurch, dass die Kriminellen Software sowohl für die Windows- als auch für die macOS-Plattform entwickelt haben. Letztere ist in der Regel weniger anfällig für Cyberbedrohungen als Windows. Die Funktionalität beider Plattformversionen der Malware ist identisch.

Ein weiteres ungewöhnliches Merkmal der AppleJeus-Operation: der Anschein eines Supply-Chain-Angriffs trügt. Der Anbieter der verwendeten Software für Kryptowährungshandel, die den gefährlichen Payload an die Computer der Opfer liefert, verfügt über ein gültiges digitales Zertifikat zur Signierung seiner Software und legitim aussehende Registrierungsdatensätze für die Domain. Allerdings konnten die Experten von Kaspersky Lab – zumindest auf der Grundlage öffentlich verfügbarer Informationen – kein seriöses Unternehmen ermitteln, das sich an der in den Zertifikatsinformationen aufgeführten Adresse befindet.

"Anfang des Jahres 2017 fiel uns bei der Lazarus-Gruppe ein wachsendes Interesse an Kryptowährungsmärkten auf, als ein Lazarus-Mitglied die Monero-Mining-Software auf einem ihrer Server installierte", berichtet Vitaly Kamluk, leitender IT Sicherheitsexperte bei Kaspersky Lab. "Seither hatte es die Gruppe – neben regulären Finanzorganisationen – mehrmals auf Kryptowährungsbörsen abgesehen. Die Tatsache, dass sie Malware entwickelt haben, um neben Windows- auch macOS-Nutzer zu infizieren, und höchstwahrscheinlich ein gefälschtes Software-Unternehmen und -Produkt geschaffen haben, um von Sicherheitslösungen unerkannte Malware zu verbreiten, zeigt, dass sie potenziell große Gewinne bei der gesamten Operation sehen. In naher Zukunft müssen wir deshalb mit mehr derartiger Fälle rechnen. Für macOS-Nutzer ist dieser Fall eine Warnung, insbesondere, wenn sie Macs für Kryptowährungsaktivitäten einsetzen."

Die Lazarus-Gruppe ist für ihre ausgeklügelten Operationen und Verbindungen nach Nordkorea bekannt. Sie ist nicht nur für Cyberspionage und Cyberattacken berüchtigt, sondern auch für finanziell motivierte Angriffe.

Kaspersky Lab empfiehlt Sicherheitsmaßnahmen
Um sich vor komplexen Cyberattacken von Gruppen wie Lazarus zu schützen, rät Kaspersky Lab Sicherheitsexperten zu folgenden Maßnahmen:

• >> Code, der auf Systemen ausgeführt wird, sollte nicht automatisch vertraut werden. Weder eine authentisch aussehende Webseite, noch ein starkes Unternehmensprofil oder digitale Zertifikate sind eine Garantie dafür, dass es keine Hintertüren gibt.

• >> Es sollte eine robuste Sicherheitslösung verwendet werden, die mit Technologie zur Erkennung schädlicher Verhaltensweisen ausgestattet ist, mit denen auch bisher unbekannte Bedrohungen abgefangen werden können.

• >> Das Sicherheitsteam eines Unternehmens sollte qualitativ hochwertige Threat-Intelligence-Reporting-Services nutzen, um frühzeitig auf Informationen über die neuesten Entwicklungen bezüglich Taktiken, Methoden und Verfahren hochentwickelter Bedrohungsakteure zugreifen zu können.

• >> Zudem sollten Multi-Faktor-Authentifizierung und Hardware-Wallets eingesetzt werden, wenn wichtige finanzielle Transaktionen anstehen: vorzugsweise ein eigenständiger, isolierter Computer, der nicht zum Surfen oder zum Lesen von E-Mails verwendet wird.
(Kaspersky Lab: ra)

eingetragen: 10.09.18
Newsletterlauf: 10.10.18

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Hacker gehen auf Butterfahrt

    GuardiCore hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die "Butter" genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt. GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.

  • Angriffe gegen kritische Infrastrukturen

    Das Cylance Threat Intelligence Team hat in seiner Reihe "Threat Intelligence Bulletin" einen neuen Beitrag von Jon Gross veröffentlicht. Er befasst sich mit der bereits drei Jahre andauernden Kampagne, die unter dem Namen "Poking the Bear" bekannt geworden ist, und sich gegen kritische Infrastrukturen in Russland richtet. Die Sicherheitsanalysten von Cylance haben Beweise für anhaltende Angriffe, die sich gegen kritische Infrastrukturen/Unternehmen richten, die sich in russischem Staatsbesitz befinden. Dazu gehört auch der größte und börsennotierte Ölkonzern Rosneft. Bei der Attacke handelt es sich vermutlich um einen kriminellen Angriff aus finanziellen Motiven.

  • Neu entdeckten Klickbetrug-Apps

    Profitsteigerung ist eine der Maximen jedes Cyberkriminellen. Da wundert es nicht, dass die SophosLabs nun eine neue Machenschaft aufgedeckt haben, die auf der Tatsache beruht, dass Werbetreibende mehr Geld pro Klick zahlen, wenn dieser von vermeintlich wohlhabenderen iPhone- oder iPad-Besitzern kommt. Da der sogenannte Klickbetrug, bei dem kommerzielle Werbeflächen geklickt oder Klicks zur Manipulation der Abrechnungssysteme simuliert werden, eine wachsende Einnahmequelle für nicht ganz so gesetztestreue App-Entwickler darstellt, scheint es sich auszuzahlen darüber zu lügen, welches Mobilgerät in betrügerischer Absicht die Werbung anklickt.

  • "Outlook-Harvesting" von Emotet

    Gefälschte E-Mails im Namen von Kollegen, Geschäftspartnern oder Bekannten - Schadsoftware (Malware), die ganze Unternehmensnetzwerke lahmlegt: Emotet gilt als eine der gefährlichsten Bedrohungen durch Schadsoftware weltweit und verursacht auch durch das Nachladen weiterer Schadprogramme aktuell hohe Schäden auch in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen zu schwerwiegenden IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit Emotet stehen. In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen. Daneben sind dem BSI weitere Fälle mit weniger schwerem Verlauf gemeldet worden, bei denen Malware-Analysten des BSI Emotet-Infektionen nachweisen konnten.

  • Antivirtuelle Maschinen- & Anti-Sandboxing-Technik

    Ein neuer Bericht von CenturyLink zeigt auf, dass das Mylobot-Botnetz nach dem Infizieren eines Computers noch andere Arten von Schadsoftware herunterladen und so größeren Schaden beim Diebstahl von Informationen verursachen kann. Mylobot enthält hochentwickelte antivirtuelle Maschinen- und Anti-Sandboxing-Techniken, um seine Erkennung und Analyse zu erschweren. Dazu gehört unter anderem die Fähigkeit, bis zu 14 Tage zu ruhen, bevor der Command and Control Server (C2) kontaktiert wird. Seit der Identifizierung im Juni 2018 haben die CenturyLink Threat Research Labs beobachtet, wie Mylobot Khalesi als zweiten Angriff auf infizierte Hosts herunterlädt. Bei Khalesi handelt es sich um eine weitverbreitete Malware-Familie, die vor allem auf Diebstahl von Informationen abzielt.