Neue Attacke des Remote-Access-Trojaner (RAT) Poison Ivy
Die Sicherheitsforscher von FireEye haben eine neue Angriffswelle des Remote-Access-Trojaner (RAT) Poison Ivy aufgespürt, wie searchsecurity.de dazu berichtete. Zur Verbreitung der Malware dienen Methoden aus dem Bereich Social Engineering.
Hat der Trojaner einen Rechner befallen, ist er in der Lage:
- Tastatureingaben mitzulesen
- Passwörter zu klauen
- Screenshots vom Bildschirminhalt anzufertigen
- Die Webcam für heimliche Aufnahmen des Nutzers zu missbrauchen
Eintrittspforte Phishing-Mails
Die neue Angriffswelle funktioniert, wie die Sicherheitsexperten von FireEye entdeckten, über Phishing-Mails. Offenbar eine Methode, die trotz vehementer Warnungen immer wieder funktioniert. Im aktuellen Fall wurden die Phishing-Mails mit verseuchten Word-Dokumenten verwendet wurden, um ein gefährliches Makro auf den PCs der Opfer auszuführen.
Wie es weiter dazu heißt, wurden diese Mails gezielt an Mitarbeiter der Regierung der Mongolei verschickt. Manche der Nachrichten enthielten Informationen über angebliche Möglichkeiten, wie man sich an Webmail-Konten anmelden kann, andere enthielten vermeintliche Informationen über geplante Gesetzesvorhaben.
Makro nutzt PowerShell-Skript
Mittels des genutzten PowerShell-Skript ist es möglich, weiteren Schadcode aus dem Internet herunterzuladen. Das Skript manipuliert die Registry und nutzt dabei eine Sicherheitslücke in AppLocker aus. Dazu verwendet es regsvr32.exe, um sich selbst als so genannter dateiloser Schädling auf dem Endpoint einzunisten.
Um derartigen Angriffen entgegenzutreten hat Microsoft bereits mehrere Empfehlungen veröffentlicht, mit denen sich vergleichbare Angriffe stoppen lassen. So wird empfohlen, nur die Ausführung von internen Skripts zuzulassen. Unternehmen sollten sich gezielt mit derartigen Angriffen auseinandersetzen, um sich und ihre Mitarbeiter gegen gezielte Phishing-Angriffe zu wappnen.
Weiterführende Links:
fireeye.com: Spear Phishing Techniques Used in Attacks Targeting the Mongolian Government
searchsecurity.de: Wie sich der Remote-Access-Trojaner Poison Ivy verbreitet