PowerPool-Malware: ESET-Analyse

Bisher nur Testlauf

Bis jetzt gingen den Cyberkriminellen nur eine kleine Anzahl von Opfern in die Falle, wie sich aus den untersuchten Telemetrie-Daten und den Uploads ergibt. Daher glauben die Security Experten von ESET an einen Testlauf einer Spionagekampagne, wie infopoint-security.de dazu ausführte.

Von der Kampagne sollen Chile, Deutschland, Indien, die Philippinen, Polen, Russland, das Vereinigte Königreich, die Vereinigten Staaten und die Ukraine betroffen sein. Die Angriffe richten sich auf die Windows Betriebssysteme 7 bis 10 – im Speziellen die ALPC-Funktion (Advanced Local Procedure Call).Problematisch ist, dass die Malware über die Schwachstelle Systemrechte, auch auf eingeschränkte Nutzerkonten erreichen kann.

Der Kommentar des Security-Experten

ESET Security Specialist Thomas Uhlemann schätzt die Situation wie folgt ein:

„Die entdeckte Schwachstelle ist schwerwiegender als es auf den ersten Blick scheint. Schaffen es Kriminelle, ihre Malware mit Systemrechten auszustatten, ist das als GAU zu bezeichnen. Der aktuelle Exploit-Code ist nicht sehr ausgefeilt. Zum jetzigen Zeitpunkt ist es noch zu früh, um fundierte Aussage über den Hintergrund der Schadcode-Entwickler zu treffen. Es ist aber nicht auszuschließen, dass es sich auch um eine schlecht umgesetzte eSpionage-Kampagne handelt. Bisher liegen uns hierfür jedoch keine Indizien vor. Das heißt aber auch, dass wenn Microsoft die Lücke nicht am kommenden Patchday schließt, ein Restrisiko für Privatanwender und Unternehmen besteht, wenn die Malware-Autoren ihren Code verbessern. Der bisherige Angriff wurde von uns aufgedeckt und entsprechende Schutzmaßnahmen innerhalb unsere Sicherheitslösungen zur Abwehr bereitgestellt. Nutzer von ESET Sicherheitslösungen sind somit von der aktuellen PowerPool-Malware geschützt.“