Schutzprogramme, Sicher & Anonym, Verschlüsselung & Datensicherheit

Warnung vor Downloader EdLoader

Forscher des Zscaler ThreatLabZ-Teams haben neuen Downloader entdeckt.

Die Malware namens Win32.Downloader.EdLoader zielt zur Auslieferung ihrer Payload auf eine denkbar große Anwenderbasis mit ca. 1 Mrd. User von Google Drive ab und will so Passwörter ausspähen. 

Downloader werden als erste Stufe einer Infektionskette betrachtet, die es dem Angreifer ermöglichen, in einem betroffenen System Fuß zu fassen. Sie enthalten üblicherweise verschleierten Code, der die tatsächliche Payload ausliefert. Dabei setzen die Cyberkriminellen auch bei Win32.Downloader.EdLoader auf Technologien, die eine Erkennung des Schadcodes durch Anti-Malware Programme verhindern sollen.

Spam-Kampagnen zur Verbreitung

Als Verbreitungsmechanismus setzt dieser aktuelle Downloader auf Spam-Kampagnen in unterschiedlichen Sprachen. Dabei werden Email-Templates eingesetzt, die in der Betreffzeile auf eine Bestellung verweisen und den Schadcode in Form eines Attachments im RTF oder XLSM-Format einschleusen. Die Dateianhänge enthalten Excel-Sheets, die die Schwachstelle CVE-2017-8570 ausnutzen, um den ersten Schadcode in der Maschine des Opfers zu platzieren.

Nachgelagerte Infektion

Ein Downloader ist per Definition ein Programm, das eine oder mehrere andere Instanzen von Malware aus dem Internet herunterlädt und installiert sowie ausführt. Er ähnelt einem Dropper und dient ebenso der Infektion von Rechnern durch Umgehung der Sicherheitskontrollen. Im Unterschied zum Dropper, der Malware in sich trägt, erfolgt die Infektion beim Downloader nachgelagert. Durch diesen Mechanismus versucht ein Dropper, sich unbemerkt an einem vorhandenen Malware-Scanner vorbei zu schmuggeln, da die eigentliche Malware noch nicht im ersten Angriffszyklus vorhanden ist.

Schnelle Verbreitung dank Google Drive

Diese Downloader-Technik wird bereits seit Jahren eingesetzt und verfolgt immer das gleiche Ziel, Malware auf einem Anwendersystem einzuschleusen. Der Einsatz von einem solch populären Tool wie Google Drive dient dabei der raschen Verbreitung auf einer großen Anzahl an Rechnern. Der Anstieg der geblockten Angriffsversuche in der Zscaler Security Cloud verdeutlicht den Erfolg des Systems und die globale Verbreitung auch in Europa.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben