Eine im April 2023 vom FBI angeprangerte Cyber-Crime-Kampagne, bei der Unternehmen mit Hilfe von Minern, Keyloggern und Backdoors attackiert werden, ist – das haben Experten des Cyber-Sicherheitsanbieters Kaspersky festgestellt –noch immer aktiv. Noch bis in den laufenden Oktober hätten laut Kaspersky-Analysen weiter eindeutig identifizierbare entsprechende Cyber-Angriffe stattgefunden und insbesondere Groß- und Einzelhandelsunternehmen ins Visier genommen. Der Sicherheitsanbieter konnte nach eigenen Angaben mehr als 10.000 solcher Attacken abwehren. [1]
Die Kaspersky-Sicherheitsexperten veröffentlichten nun neue, zu der Kampagne gehörige schädliche Skripte, die darauf abzielen, Schwachstellen von Servern und Einzelplätzen auszunutzen, um die Zielsysteme zu infiltrieren. Ist ein Zugang gefunden, versuche das Skript, mittels einer Manipulation des Windows Defenders Administratorrechte zu erhalten und Antiviren-Software in ihre Funktionsweise zu behindern. Anschließend sei das Skript darauf programmiert, neben einer Backdoor und einem Keylogger auch einen Miner herunterzuladen, der direkt beginne, auf die Systemressourcen zuzugreifen und Kryptowährungen wie beispielsweise Monero (XMR) zu „schürfen“. Der Keylogger erfasst unterdessen die komplette Serie der Mausklicks und Tastaturanschläge des Nutzers. Während die Backdoor, um Daten zu empfangen und zu übermitteln, eine Verbindung zu einem Command-and-Control-Server schafft. Damit hat der Angreifer die Remote-Kontrolle über das kompromittierte System erlangt.
Dass für eine bekannte Malware neue schädliche Skripte entwickelt werden, die trotz in Umlauf gesetzter Warnungen die Sicherheitsvorkehrungen ihrer Opfer deaktivieren können und den Download von Malware ermöglichen, ist inzwischen eine gängige Reaktion im gefährlichen digitalen Katz-und-Maus-Spiel zwischen Sicherheitsforschern und Cyber-Kriminellen. Der Umfang und die Raffinesse, wie bei dieser Kampagne „draufgesattelt“ wurde, ist dennoch bemerkenswert. „Diese Multi-Malware-Kampagne entwickelt sich rasant weiter, indem sie neue Modifikationen einführt“, erklärt Kaspersky Sicherheitsexperte Vasily Kolesnikov. Die Analyse der Kampagne deute darauf hin, dass sich die cyber-kriminellen Urheber nicht auf das Mining von Kryptowährungen beschränken wollten. Stattdessen könnten sie es auf den Verkauf gestohlener Login-Daten im Darknet oder die Ausführung komplexerer Szenarien mithilfe der Backdoor-Kapazitäten abgesehen haben. State-of-the-Art Security-Produkte könnten, da ist sich Experte Kolesnikov sicher, jedoch „dank ihrer umfassenden Schutzfunktionen die Infektionsversuche erkennen, auch jene der neuen Modifikationen.“
[1] https://securelist.com/miner-keylogger-backdoor-attack-b2b/110761/
