Springe zum Inhalt

Die Entwicklung passt zu einem Trend, laut dem gefährliche Akteure zu bekannter Malware werden, welche mit besseren Verschleierungsmethoden einer einfachen Erkennung entgehen.

Ein neues Malware Beispiel, welches eine seltene Verschleierungstechnik nutzt wurde gesichtet wie Funktionen von PowerShell genutzt wurden, einem Werkzeug, das bereits in Microsoft Windows verbaut ist. Analysen von Cylance zeigen, dass die Taktik aufgeht und die meisten Antiviren Programme umgeht.

Cylance Wissenschaftler stolperten über eine Malware Datei, die PowerShell Verschleierung nutzt, während sie einige schadhafte Skripte beobachteten, die eine niedrige Antiviren Erkennung hatten. Die Datei war eine ZIP Datei, welche sowohl PDF Dokumente als auch VBS Skripte enthielt und von nur drei Antivirus Produkten geschützt war.

Es nutzt Funktionen von anderen üblichen Verschleierungstechniken, welche unter anderem auch Packer nutzen um Malware Programme zu komprimieren, Verschlüsselung um einzigartige Codierungsreihen zu verstecken oder Techniken, die Malware Kosmetik verändern, so wie die insgesamte Anzahl an Bytes im Programm. All das verändert den Hash und die Signatur der Malware, sodass normale Antivirus Werkzeuge es nicht als schadhaften Akteur erkennen.

„Diese Techniken verändern die gesamte Struktur von einem Stück Malware, ohne jedoch die Funktion zu ändern“, erklärten Wissenschaftler von Cylance in einer technischen Analyse, die am Mittwoch zu Taktik gepostet wurde. „Oft hat das als übergreifendes Ergebnis, dass Schichten kreiiert werden um die endgültige Tragkraft zu verschleiern, wie bei den gestapelten Figuren in russischen Puppen“. ...weiterlesen "PowerShell Verschleierung legt bei Antivirus nochmal nach"

Sicherheitsforscher von Google haben einen extrem ernstzunehmenden Sicherheitsfehler im ersten Fortnite Installationsprogramm für Android öffentlich gemacht, welcher anderen installierten Apps erlauben könnte, den Installationsprozess zu manipulieren und Malware herunterzuladen, anstatt Fortnite APK.

Früher in diesem Monat kündigte Epic Games an, dass ihr äußerst beliebtes Spiel „Fortnite for Android“ nicht im Google Play Store, sondern über die eigene App verfügbar sein würde.

Viele Wissenschaftler warnten das Unternehmen, dass dieser Ansatz Android Nutzer eventuell einem höheren Risiko aussetzen würde, da es nicht empfohlen wird APKs außerhalb des Play Stores herunterzuladen, weil Nutzer dabei einige Sicherheitsfunktionen deaktivieren müssen.

Und es scheint, als seien diese Ängste und Sorgen berechtigt gewesen.

Google Entwickler entdeckten einen gefährlichen Sicherheitsmangel sobald das Fortnite Spiel auf Android eingeführt wurde. ...weiterlesen "Kritischer Fehler in Fortnite Android Apps lässt Hacker Malware installieren"

Letzten Monat haben wir über eine weit verbreitete Cryptomining Kampagne berichtet, die über 200.000 MikroTik Router gehackt hat, indem eine zuvor veröffentlichte Schwachstelle in CIA Vault7 Lecks genutzt wurde.

Chinesische Sicherheitsforscher im Qihoo 360 Netlab fanden nun heraus, dass von 370.000 möglicherweise angreifbaren MikroTik Routern über 7.500 Geräte gefährdet wurden um schädliche Socks4 Proxy zu aktivieren, die Angreifern seit Mitte Juli erlauben, die anvisierten Netzwerke aktiv abzuhören.

Die besagte Schwachstelle ist Winbox Any Directory File Read (CVE-2018-14847) in MikroTik Routern, die von dem CIA Vault 7 Hacking-Instrument Chimay Red ausgenutzt wurde, zusammen mit anderen MikroTik Webfig Remotecodeausführungs-Schwachstellen.

Sowohl Winbox als auch Webfig sind Bestandteile der RouterOS Verwaltung mit ihren entsprechenden Kommunikationsanschlüssen TCP/8291, TCP/80 und TCP8080. Winbox wurde für Windows Nutzer entwickelt um einfach die Router zu konfigurieren, die DLL Files herunterladen und auf dem System ausführen. ...weiterlesen "Tausende MikroTik Router gehackt um Netzwerkverbindungen abzuhören"

Apple hat fast alle gängigen Sicherheitsapps vom bekannten Cyber-Sicherheitsanbieter Trend Micro aus dem offiziellen Mac App Store entfernt, nachdem herauskam, dass diese sensible Nutzerdaten ohne Einverständnis der Nutzer entwendet hatten.

Die umstrittenen Apps, um die es geht, beinhalten Dr. Cleaner, Dr. Cleaner Pro, Dr. Antivirus, Dr. Unarchiver, App Uninstall Dr Battery and Duplicate Finder für Mac Computer.

Nur zwei Tage nachdem Apple eine andere „Adware Doctor“ App entfernt hatte, da sie Daten der Browser-Chronik von Safari, Chrome und Firefox Nutzern gesammelt und nach China gesendet hatte, wurden andere besagte Apps entfernt.

„Dies war eine einmalige Datensammlung aus reinen Sicherheitsgründen (um zu analysieren ob ein Nutzer kürzlich mit Adware oder anderen Bedrohungen in Berührung gekommen ist und so das Produkt und den Service zu verbessern)“, argumentierte Trend Micro.

Das verdächtige Verhalten von Trend Micro Apps wurde erstmals im Dezember 2017 von einem Nutzer auf dem Malwarebytes Forum gemeldet, was letztes Wochenende wieder vom Sicherheitsforscher Privacy 1st auf Twitter bestätigt wurde, welcher dann Apple benachrichtigte.

Privacy 1st ist der selbe Forscher, welcher auch das verdächtige Verhalten von Adware Doctor entdeckt und gemeldet hatte.

Trend Micro Apps erwischt beim Stehlen von Nutzerdaten

Der Forschungsdienst hat ebenfalls eine Videodemonstration veröffentlicht, die zeigt wie Dr. Cleaner und Dr. Antivirus Systeminformationen und Daten der Browser-Chronik von beliebten Internetbrowsern wie Safari, Chrome und Firefox sammeln und diese an trendmicro.com senden.

Jedoch waren sie nicht die einzigen mit diesem Problem. Innerhalb von 24 Stunden nachdem die Enthüllung eine Diskussion entfacht hatte, fanden auch andere Forschungsdienste ähnliche Probleme in fast allen macOS Sicherheits- und Utilityapps vom Anbieter Trend Micro.

In einem Blog Post veröffentlicht von Thomas Reed, ein Forscher im Gebiet Malwarebytes bestätigte die Datenexfiltration von Dr. Antivirus und Dr. Cleaner Apps. ...weiterlesen "Apple entfernt mehrere Trend Micro Apps die Daten von MacOS Nutzern gesammelt haben"