Aktuelles, Branche - geschrieben von dp am Mittwoch, April 20, 2016 23:16 - ein Kommentar
PWOBot: Neue Malware-Familie attackiert Unternehmen in Europa
Aktuelle Warnung von Palo Alto Networks vor „Python“-basierter Schadsoftware
[datensicherheit.de, 20.04.2016] In einer aktuellen Warnung weist Palo Alto Networks auf die Entdeckung der Malware-Familie „PWOBot“ hin. Das Besondere daran sei, dass diese Malware komplett in „Python“ geschrieben und über „PyInstaller“ kompiliert worden sei, um eine ausführbare Datei für „Microsoft Windows“ zu erzeugen. Von dieser Malware sei bereits eine Reihe von Unternehmen in Europa betroffen – verbreitet werde der größte Teil offensichtlich über einen File-Sharing-Dienst.
Bisher bereits Angriffe in Dänemark, Frankreich und Polen
„PWOBot“ beinhalte eine Fülle von Funktionen, einschließlich der Fähigkeit, Dateien herunterzuladen und auszuführen, „Python“-Code auszuführen, Tastatureingaben zu protokollieren, einen HTTP-Server zu generieren und Bitcoin-Mining über die CPUs und GPUs der Opfer-Rechner zu betreiben.
Es gebe mindestens zwölf Varianten von „PWOBot“. Die Unterschiede zwischen den Versionen erschienen minimal und dienten wahrscheinlich der Optimierung der Performance.
Angriffe, die dieser Malware zugerechnet würden, gingen bis Ende 2013 zurück und hätten sich zuletzt intensiviert. Betroffen seien unter anderem in Polen ein Forschungsinstitut, eine Reederei, ein Einzelhandelsunternehmen, ein IT-Unternehmen sowie in Dänemark ein Bauunternehmen und in Frankreich ein Anbieter von optischen Geräten.
Keylogging
Einige Samples von „PWOBot“ gäben sich als Software-Utility-Programme aus. Die Auslieferung erfolge vermutlich auf die Art, dass der Endnutzer glaube, eine andere Software herunterzuladen. Alternativ sei es möglich, dass Phishing-Angriffe verwendet würden, um Opfer dazu zu verleiten, diese Dateien herunterzuladen.
Nach Abschluss der Installation erfasse „PWOBot“ verschiedene Tastatur- und Mausaktivitäten, die für späteres Keylogging verwendet würden. „PWOBot“ sei auch mit zwei Konfigurationsdateien ausgestattet, von denen eine verschiedene Einstellungen zur Verwendung der Malware vorgebe, während die andere angebe, mit welchen Remote-Servern „PWOBot“ während der Ausführung eine Verbindung herstellen solle. „PWOBot“ enthalte verschiedene ausführbare „Windows“-Dateien. Diese würden verwendet, um Bitcoin-Mining und Proxy-Anfragen über „Tor“ auszuführen. Der Bitcoin-Miner sei eine kompilierte Version von „minerd“ und „cgminer“. Diese Dateien würden für CPU- und GPU-Bitcoin-Mining verwendet.
Bedrohung auch für andere Betriebssysteme
„PWOBot“ sei in modularer Weise aufgebaut, so dass der Angreifer verschiedene Module während der Laufzeit einbinden könne. Durch die Verwendung von „Python“ könne die Malware leicht auf andere Betriebssysteme portiert werden, wie „Linux“ oder „OS X“. Diese Tatsache, in Kombination mit einem modularen Aufbau, mache „PWOBot“ zu einer potenziell erheblichen Bedrohung.
Nutzung von „Tor“ zum Tunneln des gesamten Datenverkehrs
„PWOBot“ nutze „Tor“ zum Tunneln des gesamten Datenverkehrs an die Remote-Server des Angreifers, was Verschlüsselung und Anonymität biete. Werde solcher Verkehr beobachtet, der die Sicherheitsregeln des betroffenen Unternehmens verletzen dürfte, sollte dies eine Warnung an den Netzwerkadministrator sein.
„PWOBot“ verwende ein „Python“-Dictionary als Netzwerk-Protokoll. Zu bestimmten Zeiten sende er eine Benachrichtigung an den Remote-Server. Der Angreifer könne dann „PWOBot“ anweisen, bestimmte Aktivitäten auszuführen, deren Resultate dann zum Angreifer hochgeladen würden.
Mehr Informationen zum Thema:
paloalto NETWORKS, 19.04.2016
Python-Based PWOBot Targets European Organizations
ein Kommentar
Kevinx
Kommentieren
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Sehr interessant.