Blinder Cyber-Passagier: Verbreitung von Malware über legitime Software

screen (c) kaspersky ammyy trojaner

Während einer Analyse des gefährlichen Banking-Trojaners »Lurk« ist Kaspersky Lab auf eine perfide Methode gestoßen, über die Cyberkriminelle schädliche Software zielgerichtet auf Unternehmensrechner installieren können [1]. Beim Download der legitimen und bei Systemadministratoren beliebten Fernwartungssoftware »Ammyy Admin« wurde heimlich die Lurk-Malware mitgeliefert und installiert.

Die Lurk-Gang wurde im Juni 2016 in Russland festgenommen [2]. Den Cyberkriminellen wird vorgeworfen, 45 Millionen US-Dollar von Banken, Finanzinstituten und anderen Organisationen gestohlen zu haben.

Die Sicherheitsexperten stellten jetzt fest, dass sich der Lurk-Trojaner beim Download des bei IT-Administratoren beliebten Fernzugriffstool Ammyy Admin mit einschleuste [3]. Die Absicht dahinter: Obwohl einige IT-Sicherheitslösungen remotefähige Tools als gefährlich einstufen, neigen Nutzer beziehungsweise Systemadministratoren dazu, die entsprechende Warnmeldung zu ignorieren, weil sie von einer False-Positive-Meldung ausgehen. Das Gefährliche dabei: Im Fall von Lurk wird unbemerkt Malware auf ein System geladen und installiert – trotz Warnmeldung.

»Die Nutzung legitimer Software ist eine sehr effektive Technik, um Malware zu verbreiten«, sagt Vasily Berdnikov, Malware Analyst bei Kaspersky Lab. »Dadurch erwecken Cyberkriminelle beim Nutzer den Anschein, dass es sich hierbei um legitime und daher sichere Software handle. Wer Software von einem bekannten Anbieter herunterlädt und installiert, denkt nicht daran, dass ein blinder Cyber-Passagierdabei sein könnte. Cyberkriminelle erleichtern mit dieser Methode den Zugang zu ihren Zielen und erhöhen die Anzahl der Opfer.«

Zielgerichtete Verbreitung

Kaspersky Lab geht davon aus, dass der Lurk-Trojaner seit Februar 2016 über die Webseite ammyy.com verbreitet wurde. Die Angreifer haben wohl Schwachpunkte im Sicherheitssystem der Ammyy-Admin-Webseite ausgenutzt und die Malware ins Installationsarchiv des Fernzugriffprogramms geschmuggelt. Die Webseitenbetreiber wurden direkt nach der Entdeckung davon in Kenntnis gesetzt; die Schwachstelle wurde anschließend sofort behoben.

Im April 2016 wurde eine weitere Version des Lurk-Trojaners auf der Ammyy-Webseite entdeckt. Diese leicht veränderte Version des Schädlings war in der Lage, automatisch zu prüfen, ob ein Computer zu einem Unternehmensnetzwerk gehört. Der Schädling wurde nur ausgeliefert, wenn es sich tatsächlich um einen Firmenrechner handelte, also sehr zielgerichtet.

Am 1. Juni 2016 entdeckten die Experten noch einen Trojaner mit dem Namen Fareit, der auf der Webseite implantiert wurde. Der Schädling sollte persönliche Nutzerinformationen entwenden. Kaspersky Lab hat auch hierzu die Betreiber umgehend informiert. Das Problem ist in der Zwischenzeit behoben worden.

Sicherheitsvorkehrungen

Um derartige Cyberrisiken zu verhindern, sollten IT-Dienstleister ihre Organisation regelmäßig auf mögliche Schwachstellen überprüfen, immer im Verbund mit dem Einsatz einer IT-Sicherheitslösung [4] sowie Cybersicherheitsschulungen ihrer [5].

[1] https://securelist.com/blog/research/75384/lurk-a-danger-where-you-least-expect-it/
[2] https://securelist.com/blog/research/75040/lurk-banker-trojan-exclusively-for-russia/
[3] Das Lurk-Schadprogramm wurde unter anderem über Wasserlockattacken verbreitet. Ein solcher Angriff läuft gewöhnlich so ab, dass eine legitime Webseite gehackt und im Anschluss über auf der Seite eingeschleuste Exploits die Besucher der Seite mit Malware infiziert werden. Bei einer von Lurk durchgeführten Wasserlochattacke fiel jedoch auf, dass keine Exploits, sondern legitime Software verwendet wurde. Auffällig war auch, dass viele der Opfer das legitime Fernwartungstool »Ammyy Admin« auf ihrem Rechner installiert hatten. Das Tool ist bei Systemadministratoren sehr beliebt, weil sie damit remote auf Rechner im Unternehmensnetzwerk zugreifen können.
[4] https://www.kaspersky.com/de/business-security/small-to-medium-business
[5] https://www.kaspersky.com/de/enterprise-security/intelligence-services

Was tun gegen Erpressungstrojaner?

Angriffe von Krypto-Trojanern verzehnfacht

Starker Anstieg an Krypto-Trojanern: Jede sechste E-Mail enthält Virus

Warnung vor gezielten Angriffen: Trojaner »BIFROSE« befällt jetzt auch Unix-Systeme

Erpressungstrojaner erreichen Macs: Filecoder »KeRanger« 

Spam- und Malware-Traffic im 1. Quartal 2016 übertrifft Spitzenwerte von 2015

EICAR-Stufe II: Mindeststandard für Anti-Malware-Produkte wird überprüfbar

Verschleierungstaktik: Malware im TechNet-Forum versteckt

Schreiben Sie einen Kommentar