Malware verbirgt sich im Arbeitsspeicher
Die Schädlinge machen sich dabei die Tatsache zunutze, dass vernetzte Systeme heute in der Regel ständig laufen und es so kaum nötig ist, den Code auf die Festplatte oder den Flash-Speicher zu schreiben, wie winfuture.de zur Problematik erläuterte.
Die Malware richtet sich komplett im Arbeitsspeicher ein und entgeht so dem Suchschema herkömmlicher Virenscanner. Das ist möglich, weil diese in der Regel ihre Datenbanken abprüfen, deren Informationen auf den Massenspeicher geschrieben wurden.
Die Gruppe FIN7
Laut den Security Spezialisten von Morphisec arbeitet der Schadcode in einem aktuellen Fall vom Arbeitsspeicher aus und gibt von dort seine Befehle in die Windows-Powershell. Keiner der darauf angesetzten Virenscanner war in der Lage den Schädling, weder über seine Signaturen noch über die Verhaltensanalyse zu entdecken.
Hinter dem aktuellen Malware-Fall soll sich die Gruppe FIN7 verbergen, die sich offensichtlich bei Attacken auf Finanzdienste schon einen Namen gemacht hat. Sie soll dabei kontinuierlich an einer Weiterentwicklung und Verbesserung ihrer Methoden arbeiten.
Malware schwer angreifbar
Es ist auch nicht gerade trivial, gegen die aktuelle Malware vorzugehen. Denn im Grunde müssten die betroffenen Systeme konkret ausfindig gemacht, gepatcht und neu gestartet werden. Den Betreibern vor Ort, meist kleine Lizenznehmer der Restaurant-Ketten, ist das allerdings kaum zuzutrauen, so winfuture.de.
Weiterführende Links:
morphisec.com: FIN7 Takes Another Bite at the Restaurant Industry
winfuture.de: Dateilose Malware trickst immer häufiger die Schutz-Systeme aus
