Aktuelles, Branche - geschrieben von dp am Mittwoch, Dezember 2, 2020 18:21 - noch keine Kommentare
IceRat: Schadprogramm mit doppeltem Nutzen für Cyber-Kriminelle
Laut G DATA hat es IceRat auf Nutzer-Passwörter und illegales Coin-Mining abgesehen
[datensicherheit.de, 01.12.2020] Das Schadprogramm „IceRat“ hat es laut G DATA auf Nutzer-Passwörter und illegales Coin-Mining abgesehen und setze dabei auf außergewöhnliche Strategien, um nicht entdeckt zu werden. „IceRat“ spioniere die Zugangsdaten von Nutzern für verschiedene Online-Dienste aus und könne bei einer Infektion ungewollt die Stromrechnung von Anwendern in die Höhe treiben – durch verdecktes illegales Coin-Mining. Technisch hätten sich die Entwickler einiges ausgedacht, um eine Erkennung des Schadcodes durch Sicherheitslösungen zu verhindern.
IceRat installiert Coin-Miner, der illegal digitale Währungen schürft
Karsten Hahn, Virusanalyst bei G DATA, hat nach eigenen Angaben „IceRat“ genauer unter die Lupe genommen: „Gelangt das gefährliche Schadprogramm auf den Computer, späht es die Zugangsdaten für verschiedene Online-Dienste, zum Beispiel facebook oder amazon aus.“
Diese Informationen alleine reichten den Kriminellen allerdings nicht aus: Sie installierten zusätzlich einen Coin-Miner, der illegal digitale Währungen schürfe. Hahn: „So verdienen die Täter zusätzlich Geld und die Opfer haben es mit einer erhöhten Stromrechnung zu tun.“
IceRat kann Virenschutz-Lösungen austricksen
Bei „IceRat“ hätten die Angreifer die Schadfunktionen nicht in eine Datei geschrieben, sondern diese auf mehrere Komponenten verteilt, welche zu der Malware zusammengesetzt worden seien. Bei den meisten dieser Bestandteile sei der Analyst auf eine Programmiersprache gestoßen, „die für Schadcode sehr ungewöhnlich ist: JPHP“.
Dabei handele es sich um eine „PHP“-Implementierung, welche in der virtuellen Maschine von „Java“ laufe. Durch dieses Vorgehen versuchten die Cyber-Kriminellen Sicherheitslösungen auszutricksen, um eine Erkennung zu verhindern. „Wenn einzelnen Dateien des Schadprogramms der Gesamtkontext fehlt, ist es schwer, diese als bösartig zu identifizieren“, so Hahn. Die Nutzung von „JPHP“ sei ebenfalls so ungewöhnlich, dass viele Sicherheitslösungen nicht Alarm schlügen.
IceRat ist sehr gefährlich und schädigt zweifach
„IceRat ist sehr gefährlich und schädigt Nutzer gleich in zweierlei Hinsicht. Eine Infektion führt dazu, dass nicht nur Passwörter in fremde Hände geraten und lukrativ in speziellen Untergrundmärkten verkauft werden können“, warnt Hahn.
Gleichzeitig werde der Computer auch noch für illegales Coin-Mining missbraucht. Damit verdienten die Angreifer doppelt auf Kosten ihrer Opfer. Kunden von G DATA CyberDefense brauchten sich indes „keine Sorgen zu machen“, denn sie seien vor diesem gefährlichen Schadcode geschützt.
Weitere Informationen zum Thema:
G DATA Blog, Karsten Hahn, 01.12.2020
IceRat evades antivirus by running PHP on Java VM
datensicherheit.de, 26.09.2020
Windows XP: Quellcode-Leak durchaus bedrohlich
Aktuelles, Experten, Studien - Nov 8, 2024 19:30 - noch keine Kommentare
it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
weitere Beiträge in Experten
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
Aktuelles, Branche - Nov 8, 2024 19:20 - noch keine Kommentare
Sophos X-Ops analysieren Cyber-Attacken per Quishing
weitere Beiträge in Branche
- ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren