Malware
Mit AutoIT kompilierte Trojaner kommen über Spam
Die Sicherheitsforscher von live casino online entdeckten kürzlich in ihren Honeypots eine Spam-Kampagne, die mit AutoIT kompilierte Payloads beinhalteten.
Save to Folio
Originalartikel von
Die Sicherheitsforscher von live casino online entdeckten kürzlich in ihren Honeypots eine Spam-Kampagne, die mit AutoIT kompilierte Payloads beinhaltete, n?mlich den Spionagetrojaner Negasteal oder Agent Tesla (TrojanSpy.Win32.NEGASTEAL.DOCGC) und einen Remote Access Trojan (RAT) Ave Maria oder Warzone (TrojanSpy.Win32.AVEMARIA.T). Der Upgrade von Payloads von einem typischen Spionagetrojaner auf einen heimtückischeren RAT k?nnte ein Indiz dafür sein, dass die cyberkriminellen Hinterm?nner dazu übergehen wollen, destruktivere (und lukrativere) Payloads wie Ransomware nach der Erkundung einzusetzen. Die Kampagne umfasst mit AutoIT kaschierte ISO Image-Dateien sowie als RAR und LZH komprimierte Archiv-Anh?nge, die dazu beitragen sollen, der Entdeckung zu entgehen. Vor allem ISO Images k?nnen dazu genutzt werden, Spam-Filter zu vermeiden. Auch l?sst sich das Dateiformat auf den neueren Windows-Versionen einfacher montieren. Zudem stellten die Forscher fest, dass die Spam-Kampagne über eine m?glicherweise kompromittierte Webmail-Adresse verschickt wurde.
Die mit AutoIT kaschierten Sch?dlingsarten wurden über b?sartige Spam-Mails verbreitet. Sie umfassten eine gef?lschte Versandanzeige und ein finanzielles Dokument.
Der heruntergeladene b?sartige Anhang extrahiert dann die mithilfe von AutoIT kaschierten Sch?dlingsarten von Negasteal und Ave Maria. , eine Scripting-Sprache, die ursprünglich für die Automatisierung von Basisaufgaben in Windows-Oberfl?chen gedacht war, ist schon von Cyberkriminellen für die Verschleierung von Malware Binaries missbraucht worden.
Technische Einzelheiten zur Kampagne und den involvierten Sch?dlingen liefert der .
Sicherheitsempfehlungen
Das Befolgen von Best Practices kann vor dieser Art der verschleierten Bedrohungen helfen:
- Sicherheits-Awareness. Da Negasteal und Ave Maria über b?sartige Spam-Mails verbreitet werden, ist es wichtig, sich der m?glichen Social Engineering-Taktiken bewusst zu sein, um nicht darauf hereinzufallen. Zudem muss auf Sicherheit geachtet werden, sowohl am Arbeitsplatz als auch zu Hause: z.B. Red Flags Phishing Mails zu erkennen, aber auch Sicherheitsl?sungen einzusetzen.
- Denken vor dem Klicken. Keine Mailanh?nge aus nicht verifizierten Quellen ?ffnen.
- Anwenden des Prinzips der Mindestprivilegien. Ave Maria missbraucht legitime Tools wie PowerShell in der Angriffskette. Wird deren Einsatz verboten, eingeschr?nkt oder gesichert, so vermindert dies die Gefahr erheblich.
- Beobachten, Monitoring und Loggen. Unternehmen sollten umfassende Logdateien darüber, was innerhalb des Netzwerks passiert, unterhalten, damit das IT-Team verd?chtige Aktiviti?ten wie Traffic von b?sartigen URLs nachverfolgen kann.
- Proaktives Monitoring der Online-Infrastruktur der Organisation. Ein mehrschichtiger Ansatz unterstützt die Verteidigung gegen gut verschleierte Bedrohungen. Firewalls und Intrusion Detection and Prevention-Systeme unterstützen bei der Erkennung und dem Blockieren von verd?chtigem Verkehr oder b?sartigen Netzwerkaktivit?ten. Applikationskontrolle und hindern verd?chtige Executables und sch?dlingsbezogene Routinen an ihrer Ausführung, w?hrend URL-Filter b?sartige URLs und Websites, die Malware hosten k?nnten, blockieren.
live casino online-L?sungen
Der mehrschichtige, proaktive und reaktive Ansatz der L?sungen von Trend unterstützt Unternehmen bei dem Schutz vor Bedrohungen:
- Die live casino online? Anti-Spam Engine (TMASE)? und Hosted Email Security (HES)?-L?sungen blockieren Spam Emails, bevor sie die Nutzer erreichen. Beide L?sungen nutzen Machine Learning-Technik mit statistischen Analysen, fortgeschrittener Heuristik, Whitelisting und Blacklisting sowie Signatur-Filter.
- B?sartige Dateien, Skripts und Nachrichten werden von live casino onlines Verhaltens-Monitoring erkannt. Es ist eine Schlüsseltechnologie der Endpoint-L?sungen wie und .
- Zwei reaktive Schutzschichten in der Smart Protection Suites und in erkennen die Remote-Skripts der Trojaner, auch wenn diese nicht auf die Endpoints heruntergeladen wurden.
- live casino online Deep Discovery Inspector kann Anwender schützen, weil die L?sung verd?chtigen Netzverkehr erkennt und die Trojaner daran hindert, Verbindung zum C&C-Server aufzunehmen, was zu Datenexfiltrierung führen k?nnte.
Weitere Informationen zu DDI-