Aktuelles, Branche - geschrieben von dp am Mittwoch, Februar 23, 2022 20:50 - noch keine Kommentare
Xloader: Evolution einer Malware zum Malware-as-a-Service
Hacker können mit Malware-as-a-Service Erpressungs-Software abonnieren
[datensicherheit.de, 23.02.2022] Sogenannte Malware-as-a-Service (MaaS) etabliert sich offensichtlich als Geschäftsmodell für Cyber-Kriminelle, so die aktuelle Warnung der „ThreatlabZ“-Analysten von Zscaler – als Beispiel wird „Xloader“ genannt. Bei diesem „Infostealer“ handele es sich um den Nachfolger von „Formbook“, der seit Anfang 2016 in Hacker-Foren verkauft worden sei. „Formbook“ sei den Kunden mit einem web-basierten Command-and-Control-Panel zur Verfügung gestellt worden, womit sie ihre eigenen Bot-Netze hätten verwalten können. 2017 sei der Quell-Code des „Formbook“-Panels durchgestochen worden, woraufhin der Akteur dahinter zu einem anderen Geschäftsmodell übergegangen sei: „Anstatt eine voll funktionsfähige Ausrüstung zum Daten- und Informations-Klau zu vertreiben, wird die C2-Infrastruktur an die Kunden nur noch vermietet.“ Dieses Malware-as-a-Service-Geschäftsmodell sei vermutlich profitabler und erschwere außerdem den erneuten Diebstahl des Codes. Im Oktober 2020 seien „Formbook“ dann in „Xloader“ umbenannt und dabei wesentliche Verbesserungen durchgeführt worden, insbesondere in Bezug auf die Verschlüsselung des Command-and-Control-Netzwerks (C2).
Mark Lueck: Drohung, gestohlene sensible Daten zu veröffentlichen, setzt Opfer unter größeren Druck, Lösegeld zu zahlen
Malware als Dienst verbrecherischer Gruppierungen auf Basis eines Abonnements
Da „Infostealer“ im Zuge von Ransomware-Angriffen zum Diebstahl vertraulicher Informationen eingesetzt würden und als Druckmittel zur Monetarisierung fungierten, lasse sich die Popularität des Geschäftsmodells somit einfach erklären. Ähnlich wie legale Software-as-a-Service-Angebote werde Malware dabei als Dienst von verbrecherischen Gruppierungen auf Basis eines Abonnements angeboten.
Die kriminellen Anbieter stellten eine Plattform bereit, welche es auch Angreifern ohne Programmier-Kenntnis ermögliche, kriminelle Machenschaften zu verfolgen. „Hat ein Ransomware-Angriff zum Erfolg geführt, wird das gezahlte Lösegeld zwischen dem Dienstanbieter, dem Programmierer und dem Abonnenten geteilt.“
Xloader als gut entwickelte Malware kann Ermittler in die Irre zu führen
- Stehlen von Anmeldedaten aus Webbrowsern und anderen Anwendungen.
- Erfassen von Tastenanschlägen.
- Erstellen von Bildschirmfotos.
- Stehlen von Passwörtern.
- Herunterladen und Ausführen zusätzlicher Binärdateien.
- Ausführen von Befehlen.
„Xloader“ sei eine gut entwickelte Malware, welche über zahlreiche Techniken verfüge, um Ermittler in die Irre zu führen und die Malware-Analyse zu erschweren. Dazu dienten unter anderem mehrere Verschlüsselungsebenen sowie eine eigene virtuelle Maschine. Obwohl die Autoren den „Formbook“-Zweig aufgegeben hätten, um sich auf den Nachfolger „Xloader“ zu konzentrieren, seien beide Stämme noch aktiv.
Malware-Familie eine der aktivsten Bedrohungen der letzten Jahre
„Formbook“ werde nach wie vor von Hackern verwendet, welche den durchgesickerten Panel-Quellcode nutzten und das C2 selbst verwalteten, während die ursprünglichen Autoren nun die neue Variante als MaaS verkauften sowie die Server-Infrastruktur unterstützten und vermieteten. Es überrasche daher nicht, dass diese Malware-Familie eine der aktivsten Bedrohungen der letzten Jahre gewesen sei.
„Xloader“ verwende HTTP zur Kommunikation mit dem C2-Server. Eine HTTP-GET-Anfrage werde als eine Art von Registrierung gesendet. Anschließend stelle die Malware HTTP-POST-Anfragen an den C2-Server, um Informationen, wie Screenshots oder gestohlene Daten, abzugreifen. In beiden Fällen hätten die GET-Parameter und die POST-Daten ein ähnliches Format und würden verschlüsselt. Darüber hinaus verwende „Xloader“ vielschichtige Block-Strukturen der Verschlüsselung von Daten und Code, um der Entdeckung zu entgehen und Malware-Analysten in die Irre zu führen.
Infostealer-Malware spielt in Ransomware-Szenarien wichtige Rolle
„,Infostealer‘ spielen in Ransomware-Szenarien eine wichtige Rolle, da Angreifer auf ,Double-Extortion‘ Mechanismen setzen. Somit erhöhen sie ihre Chance zur Monetarisierung des Angriffs über die bloße Geiselnahme von Daten hinaus“, erläutert Mark Lueck, „CISO EMEA“ bei Zscaler. Die Drohung, gestohlene sensible Daten zu veröffentlichen, setze die Opfer unter größeren Druck, das Lösegeld zu zahlen.
Organisationen täten daher gut daran, ihre Möglichkeiten zur Prävention der häufigsten Arten der Cyber-Kriminalität zu evaluieren, rät Lueck und führt aus: „Zu effektiven Maßnahmen zählen auch Faktoren wie das Begrenzen von lateralen Bewegungen von Angreifern in einem Netzwerk oder ,Data Leakage Prevention‘, um den unbemerkten Abfluss von Daten zu verhindern.“
Weitere Informationen zum Thema:
zscaler, Insights and Research, 21.01.2022
Analysis of Xloader’s C2 Network Encryption
datensicherheit.de, 24.01.2022
DTPacker: Neue Malware vereint Fähigkeiten zweier Schadsoftware-Formen / Im Rahmen Dutzender Malware-Kampagnen von verschiedenen cyber-kriminellen Gruppen zum Einsatz gebracht
Aktuelles, Experten, Studien - Nov 29, 2024 19:21 - noch keine Kommentare
TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
weitere Beiträge in Experten
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
Aktuelles, Branche, Studien - Nov 30, 2024 20:46 - noch keine Kommentare
KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
weitere Beiträge in Branche
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren