Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet WildPressure: Neue Malware für macOS und Windows

Denis Legezo von Securelist / Kaspersky hat die Malware-Kampagne WildPressure im Frühling 2021 genauer beobachtet. Er konnte mehrere neue Varianten entdecken. Eine davon basiert auf Python und ist neben Windows auch auf macOS lauffähig.



Bereits 2019 entdeckt​

Kaspersky entdeckte bereits im August 2019 einen neue C++ basierten Trojaner namens Milum. Ziel der Schadsoftware waren Firmen im Mittleren Osten, unter anderem aus dem Industriesektor. Der Malware-Kampagne gab man die Bezeichnung WildPressure.

Es wurden nur drei verschiedene Dateisamples der Malware Milum entdeckt. Das deutete darauf hin, dass es sich dabei um sehr gezielte Angriffe gehandelt haben müsste. Das Erstellungsdatum der Dateien lag im März 2019, wobei keine Infektionen vor dem 31. Mai 2019 entdeckt wurden.

ls Backend setzten die Angreifer auf Server von OVH und Netzbetrieb VPS. Die Domains wurden über Domains by Proxy verschleiert.



WildPressure: Pythonvariante sehr ähnlich zu Milum​

Die neue Malware hört auf den Namen Guard und weist extreme Parallelen zu Milum auf. Sie setzt auf das gleiche Grunddesign, einen ähnlichen Codingstil. Guard verwendet das von Milum bekannte C2 Protokoll.

Das Ziel von Guard scheint es zu sein, Firmen aus der Öl- und Gasindustrie zu kompromittieren.

Auffällig ist, dass es im Programmcode des Trojaners spezielle Routinen für macOS gibt, die prüfen, ob Guard schon aktiv ist. Damit ist klar, dass auch Rechner mit Apples Betriebssystem befallen werden sollen.

Tandis basiert auf VBScript​

Neben den bereits bekannten Varianten Milum (C++) und Guard (Python), wurde eine weitere Abart der Malware auf Basis von VBScript gefunden. Dabei nutzt sie, wie auch die bereits bekannten Ausführungen, auf das C2 Kommunikationsprotokoll.

Orchestrator: Weitere Plugin-basierte C++ Malware​

Weiterhin hat Legezo eine weitere auf C++-basierte Malware analysiert. Diese kann man mit Plugins sehr stark erweitern. Es existiert beispielsweise ein Fingerprinting-Plugin, welches dazu dienen könnte, ein System sehr genau zu identifizieren. Weitere Beispiele sind ein Keylogger oder eine Erweiterung für Screenshots.

Außerdem besteht auch hier eine starke Ähnlichkeit im Codingstil und Grundaufbau. Folglich stammt Orchestrator vom gleichen Entwickler.

Du musst angemeldet sein, um Bilder zu sehen.

Lesen Sie auch
Cyberpunk 2077: Gratis-Download entpuppt sich als Betrug

Reverse Engineering von WildPressure​

Auf dem YouTube Kanal von Kaspersky Tech zeigt Denis Legezo, wie er die eben genannte Malware in seine Bestandteile zerlegt und analysiert.

Erkennung von WildPressure​

Selbst im Umgang mit Apple-Geräten muss nicht zwingend eine kostenpflichtige Software zum Einsatz kommen. Auf macOS kann beispielsweise das kostenlose Open Source-Tool BlockBlock von Objective-See die Aktivitäten des Schädlings erkennen.

Quelle: tarnkappe.info
 
Ich glaube eher, das 90% der Schadsoftware von den Antivirenprogrammierern selbst in Umlauf gebracht wird, um ihr Produkt weiterhin verkaufen zu können.
Ein Betriebssystem sollte doch in der Lage sein sich vor sowas zu schützen und immun gegen sowas zu sein.
Deshalb verwende ich Linux.

MfG
 
Zurück
Oben