Letztes Jahr fand das britische National Cyber Security Centre (NCSC) eine Variante der Spionage-Malware SparrowDoor in einem unbekannten britischen Netzwerk. Heute wurde eine Analyse der Variante veröffentlicht, die nun unter anderem Daten aus der Zwischenablage stehlen kann. Darüber hinaus wurden Kompromittierungsindikatoren und Yara-Regeln zur Verfügung gestellt, die es Unternehmen ermöglichen, die Malware in ihrem eigenen Netzwerk zu erkennen.
Die erste Version von SparrowDoor wurde vom Antiviren-Unternehmen ESET entdeckt und soll weltweit gegen Hotels sowie gegen Regierungen eingesetzt worden sein. Die Angreifer nutzten Schwachstellen in Microsoft Exchange, Microsoft SharePoint und Oracle Opera, um in Organisationen einzudringen. Betroffen waren unter anderem Organisationen in Kanada, Israel, Frankreich, Saudi-Arabien, Taiwan, Thailand und dem Vereinigten Königreich. Das genaue Ziel der Angreifer gab ESET nicht bekannt.
Das britische NCSC gab an, letztes Jahr eine Variante von SparrowDoor in einem britischen Netzwerk gefunden zu haben. Diese Version kann Daten aus der Zwischenablage stehlen und prüft anhand einer fest codierten Liste, ob bestimmte Antivirensoftware ausgeführt wird. Diese Variante kann auch beim Einrichten von Netzwerkverbindungen das Benutzerkonto-Token nachahmen. Es ist wahrscheinlich, dass dieses „Downgrade“ unauffällig durchgeführt wird, was beispielsweise dann der Fall wäre, wenn Netzwerkkommunikationen unter dem SYSTEM-Konto durchgeführt würden.
Ein weiteres neues Feature ist die Entführung verschiedener Windows API-Funktionen. Es ist nicht klar, wann die Malware „API-Hooking“ und „Token-Impersonation“ verwendet, aber laut dem britischen NCSC treffen die Angreifer bewusste Entscheidungen zur betrieblichen Sicherheit. Nähere Angaben zum angegriffenen Netzwerk oder wer hinter der Schadsoftware steckt, werden nicht gemacht.
Bei näherer Betrachtung ist MagnaEngine mehr als nur ein Browser-Tool. Es ist eigentlich ein Browser ...
Cyberbedrohungen wie unerwünschte Softwareinstallationen gibt es in vielen Formen und Größen. Adware, insbesondere solche…
Viele Personen berichten, dass sie Probleme mit einer Website namens Yourgiardiablog.com haben. Diese Website verleitet Benutzer dazu…
Viele Personen berichten, dass sie Probleme mit einer Website namens Phaliconic.com haben. Diese Website verleitet Benutzer dazu…
Viele Personen berichten, dass sie Probleme mit einer Website namens Pergidal.co.in haben. Diese Website verleitet Benutzer dazu…
Viele Personen berichten, dass sie Probleme mit einer Website namens Mysrverav.com haben. Diese Website verleitet Benutzer dazu…