Aktuelles, Branche - geschrieben von dp am Mittwoch, Dezember 2, 2020 18:21 - noch keine Kommentare
IceRat: Schadprogramm mit doppeltem Nutzen für Cyber-Kriminelle
Laut G DATA hat es IceRat auf Nutzer-Passwörter und illegales Coin-Mining abgesehen
[datensicherheit.de, 01.12.2020] Das Schadprogramm „IceRat“ hat es laut G DATA auf Nutzer-Passwörter und illegales Coin-Mining abgesehen und setze dabei auf außergewöhnliche Strategien, um nicht entdeckt zu werden. „IceRat“ spioniere die Zugangsdaten von Nutzern für verschiedene Online-Dienste aus und könne bei einer Infektion ungewollt die Stromrechnung von Anwendern in die Höhe treiben – durch verdecktes illegales Coin-Mining. Technisch hätten sich die Entwickler einiges ausgedacht, um eine Erkennung des Schadcodes durch Sicherheitslösungen zu verhindern.
IceRat installiert Coin-Miner, der illegal digitale Währungen schürft
Karsten Hahn, Virusanalyst bei G DATA, hat nach eigenen Angaben „IceRat“ genauer unter die Lupe genommen: „Gelangt das gefährliche Schadprogramm auf den Computer, späht es die Zugangsdaten für verschiedene Online-Dienste, zum Beispiel facebook oder amazon aus.“
Diese Informationen alleine reichten den Kriminellen allerdings nicht aus: Sie installierten zusätzlich einen Coin-Miner, der illegal digitale Währungen schürfe. Hahn: „So verdienen die Täter zusätzlich Geld und die Opfer haben es mit einer erhöhten Stromrechnung zu tun.“
IceRat kann Virenschutz-Lösungen austricksen
Bei „IceRat“ hätten die Angreifer die Schadfunktionen nicht in eine Datei geschrieben, sondern diese auf mehrere Komponenten verteilt, welche zu der Malware zusammengesetzt worden seien. Bei den meisten dieser Bestandteile sei der Analyst auf eine Programmiersprache gestoßen, „die für Schadcode sehr ungewöhnlich ist: JPHP“.
Dabei handele es sich um eine „PHP“-Implementierung, welche in der virtuellen Maschine von „Java“ laufe. Durch dieses Vorgehen versuchten die Cyber-Kriminellen Sicherheitslösungen auszutricksen, um eine Erkennung zu verhindern. „Wenn einzelnen Dateien des Schadprogramms der Gesamtkontext fehlt, ist es schwer, diese als bösartig zu identifizieren“, so Hahn. Die Nutzung von „JPHP“ sei ebenfalls so ungewöhnlich, dass viele Sicherheitslösungen nicht Alarm schlügen.
IceRat ist sehr gefährlich und schädigt zweifach
„IceRat ist sehr gefährlich und schädigt Nutzer gleich in zweierlei Hinsicht. Eine Infektion führt dazu, dass nicht nur Passwörter in fremde Hände geraten und lukrativ in speziellen Untergrundmärkten verkauft werden können“, warnt Hahn.
Gleichzeitig werde der Computer auch noch für illegales Coin-Mining missbraucht. Damit verdienten die Angreifer doppelt auf Kosten ihrer Opfer. Kunden von G DATA CyberDefense brauchten sich indes „keine Sorgen zu machen“, denn sie seien vor diesem gefährlichen Schadcode geschützt.
Weitere Informationen zum Thema:
G DATA Blog, Karsten Hahn, 01.12.2020
IceRat evades antivirus by running PHP on Java VM
datensicherheit.de, 26.09.2020
Windows XP: Quellcode-Leak durchaus bedrohlich
Aktuelles, Experten - Jul 25, 2024 16:32 - noch keine Kommentare
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
weitere Beiträge in Experten
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
- Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024
Aktuelles, Branche - Jul 26, 2024 1:00 - noch keine Kommentare
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
weitere Beiträge in Branche
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
- Vielfältige Cyber-Bedrohungen rund um die Olympischen Spiele 2024
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren