Business Security, Verschlüsselung & Datensicherheit

Malware Ave_Maria nutzt Sicherheitslücken

Malware Ave_Maria nutzt Sicherheitslücken
Die Malware nutzt mittels DLL-Hijacking eine ungepatchte Schwachstelle aus.

Ungepatchte Sicherheitslücken stellen eine große Gefahr dar. Sie sind auch für die Malware Ave_Maria der Angriffspunkt. Per DLL-Hijacking sorgt die Malware für eine Erhöhung der Berechtigung. So soll  es bereits gelungen sein, einen Phishing-Angriff auf ein italienisches Unternehmen aus dem Energie-Sektor auszuführen.

Stealer-Malware Ave_Maria

Anti-Phishing-Spezialist Cofense verzeichnet einen Anstieg von Phishing-Kampagnen, die auf die Verbreitung einer Art von Stealer-Malware namens Ave_Maria abzielen, wie zdnet.de berichtete.

Die Malware nutzt mittels DLL-Hijacking eine ungepatchte Schwachstelle aus, um Administratorrechte zu erlangen und eine Erkennung zu vermeiden. Sie stiehlt Informationen und lädt zusätzliche Plugins herunter. Laut Cofense kann Ave_Maria zahlreiche Sicherheitslösungen umgehen.

Attacke über die Schwachstelle CVE-2017-11882

Wie CERT Italia informiert, wurde Ave_Maria Ende 2018 für einen Phishing-Angriff auf eine italienische Firma aus dem Energiesektor verwendet. Der Angriff erfolgte über eine Excel-Datei, deren Inhalt die Schwachstelle CVE-2017-11882 ausgenutzt hat.

Die von Ave_Maria verwendeten Techniken zur Rechteausweitung stammen laut Cofense von dem öffentlich verfügbaren UACME-Dienstprogramm, das eine Form von DLL-Hijacking verwendet. Obwohl es sich um einen bekannten und dokumentierten Exploit handelt, gibt es keine eindeutigen Beweise dafür, dass ein Fix für DLL-Hijacking ausgegeben wird oder dass die Schwachstelle behoben wurde. Diese Methode der Rechteausweitung durch DLL-Hijacking nutzt pkgmgr.exe – einer legitimen Whitelist-Anwendung, die automatisch mit erhöhten Rechten ausgeführt wird.

Wenn die Malware erhöhte Berechtigungen erlangt

Sobald Ave_Maria sich ins System eingenistet hat und über erhöhte Berechtigungen verfügt, versucht es, einige grundlegende Aktivitäten zum Stehlen von Informationen durchzuführen, wobei es auf gespeicherte Anmeldeinformationen für Google Chrome, Thunderbird, Microsoft Outlook und andere Anwendungen abzielt.

Es exfiltriert dann einige grundlegende Informationen, einschließlich des Benutzernamens, bevor es versucht, eine ausführbare Datei herunterzuladen, die für den Diebstahl weiterer Informationen verwendet wird.

Fazit

Die Verwendung des Tools zur Rechteausweitung und mehrerer eingebetteter Binärdateien durch Ave_Maria ermöglicht es, Erkennungs- und Berechtigungsbeschränkungen für viele Endpunkte zu umgehen. Die Nutzung öffentlich zugänglicher Dienstprogramme durch Bedrohungsakteure, die bekannte, nicht gepatchte Schwachstellen ausnutzen, zeigt, wie sich die Sicherheitsherausforderungen ständig weiterentwickeln und wie vorbeugende Maßnahmen nicht immer Schritt halten können, so zdnet.de.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben