Business Security, Verschlüsselung & Datensicherheit

Der Trojaner Poison Ivy zielt auf Regierungsmitarbeiter

Der Trojaner Poison Ivy zielt auf Regierungsmitarbeiter
Es sind nach wie vor Phishing-Mails, die Cyberkriminellen zum Erfolg verhelfen.

Es ist eine neue Version des Remote-Access-Trojaners, die Sicherheitsforscher im Rahmen einer aktuellen Angriffswelle  beobachtet haben. Cyberkriminelle nutzen dabei Social Engineering, um ihre Attacken auszuführen. Hat sich der Trojaner eingenistet, ist er in der Lage Tastatureingaben zu belauschen und Passwörter zu entwenden.

Neue Attacke des Remote-Access-Trojaner (RAT) Poison Ivy

Die Sicherheitsforscher von FireEye haben eine neue Angriffswelle des Remote-Access-Trojaner (RAT) Poison Ivy aufgespürt, wie searchsecurity.de  dazu berichtete. Zur Verbreitung der Malware dienen Methoden aus dem Bereich Social Engineering.

Hat der Trojaner einen Rechner befallen, ist er in der Lage:

  • Tastatureingaben mitzulesen
  • Passwörter zu klauen
  • Screenshots vom Bildschirminhalt anzufertigen
  • Die Webcam für heimliche Aufnahmen des Nutzers zu missbrauchen

Eintrittspforte Phishing-Mails

Die neue Angriffswelle funktioniert, wie die Sicherheitsexperten von FireEye entdeckten, über Phishing-Mails. Offenbar eine Methode, die trotz vehementer Warnungen immer wieder funktioniert. Im aktuellen Fall wurden die Phishing-Mails mit verseuchten Word-Dokumenten verwendet wurden, um ein gefährliches Makro auf den PCs der Opfer auszuführen.

Wie es weiter dazu heißt, wurden diese Mails gezielt an Mitarbeiter der Regierung der Mongolei verschickt. Manche der Nachrichten enthielten Informationen über angebliche Möglichkeiten, wie man sich an Webmail-Konten anmelden kann, andere enthielten vermeintliche Informationen über geplante Gesetzesvorhaben.

Makro nutzt PowerShell-Skript

Mittels des genutzten PowerShell-Skript ist es möglich, weiteren Schadcode aus dem Internet herunterzuladen. Das Skript manipuliert die Registry und nutzt dabei eine Sicherheitslücke in AppLocker aus. Dazu verwendet es regsvr32.exe, um sich selbst als so genannter dateiloser Schädling auf dem Endpoint einzunisten.

Um derartigen Angriffen entgegenzutreten hat Microsoft bereits mehrere Empfehlungen veröffentlicht, mit denen sich vergleichbare Angriffe stoppen lassen.  So wird empfohlen, nur die Ausführung von internen Skripts zuzulassen. Unternehmen sollten sich gezielt mit derartigen Angriffen auseinandersetzen, um sich und ihre Mitarbeiter gegen gezielte Phishing-Angriffe zu wappnen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben