Neue Variante von Quant
Es ist eine neue Variante von Quant, die kürzlich entdeckt wurde, wie zdnet.de unter Berufung auf die Untersuchungen der Forscher von Forcepoint Security Labs berichtete. Ein vor kurzem veröffentlichtes Update soll die Malware um einige „beunruhigende“ Funktion erweitern. Unter anderem soll sie nun in der Lage sein, die Anmeldedaten für Online-Geldbörsen von Kryptowährungen auszuspähen, um die darin enthaltenen Bitcoins zu stehlen.
Noch im Vorjahr wurde Quant als ein sehr simpler Trojaner zur Verteilung der Ransomware Locky und der Malware-Familie Pony beschrieben. Nun entdeckten die Forscher jedoch ein neues Administrationstool für Quant auf einer neu registrierten Domain sowie die jüngsten Muster der Malware. Sie beziehen nun automatisch zusätzliche Dateien von einem Befehlsserver im Internet.
Wie Quant funktioniert
Dazu heißt es, dass die erste Datei namens Bs.dll.c ist ein Cryptocurrency Stealer ist. Zs.dll.c wiederum hat die Aufgabe, Anmeldedaten zu stehlen und Sql.dll.c ist eine dafür benötigte SQLite-Bibliothek. Der Cryptocurrency Stealer sucht im Anwendungsverzeichnis des Opfers nach unterstützten Geldbörsen (Bitcoin, Terracoin, Peercoin und Primecoin) und verschickt gefundene Daten an die Angreifer. Der Credential Stealer wiederum ist hinter Anmeldedaten für Anwendungen und das Betriebssystem her. Auch er überträgt alle gefundenen Informationen an den Befehlsserver der Hintermänner.
Der Untergrund-Handel blüht
Laut Erkenntnissen der Sicherheitsforscher wird Quant in russischen Untergrund-Foren von einem Nutzer namens „MrRaiX“ oder „DamRaiX“ angeboten. Fünf Lizenzen des Trojaners sollen dort derzeit 275 Dollar kosten, inklusive der Module zum Stehlen von Kryptowährungen und Anmeldedaten. Die Module seien aber auch separat erhältlich. Ersteres koste 100 Dollar zuzüglich 15 Dollar pro Update, Letzteres 100 Dollar inklusive aller Updates oder 55 Dollar zuzüglich 15 Dollar pro Update.
IT-Sicherheitsunternehmen schlafen nicht
IT-Sicherheitsunternehmen schlafen nicht, das heißt, dass der neu eingebaute Schlaf-Befehl, der die Entdeckung der Malware erschweren soll, von einigen Sicherheitslösungen erkannt wird. Dazu gehören:
- Kaspersky Internet Security
- Panda Firewall
- Norton Security
- Dr. Web Firewall
- Bitdefender
- Bullguard
Die Hintermänner der Quant Malware preisen auch die sogenannte “Privilege Escalation” Funktion an, die einen ShellExecuteEx Trick nutzt, um die Benutzerkontensteuerung von Windows zu umgehen. Unter bestimmten Umständen beziehungsweise in Abhängigkeit von den Einstellungen der Benutzerkontensteuerung sei die Malware in der Lage, höhere Rechte zu erlangen, ohne dass die Benutzerkontensteuerung davor warne.
