USB-Malware mit Tarnkappe

Die von ESET entdeckte Malware "USB Thief" stiehlt Daten von vermeintlich sicheren air-gapped Systemen und bleibt dabei unerkannt. [...]

Der europäische Security-Software-Hersteller ESET hat einen neuen Trojaner entdeckt. Die Malware Win32/PSW.Stealer.NAI, vereinfacht „USB Thief“ genannt, nutzt ausschließlich USB-Sticks zur Verbreitung. Mit dieser tückischen Vorgehensweise werden keine Spuren auf dem infizierten Computer hinterlassen. Die Entwickler haben zudem einen ausgetüftelten Schutzmechanismus entwickelt, der den Trojaner vor Vervielfältigung und Reproduzierung schützt. So ist er schwieriger zu analysieren und kann kaum ausfindig gemacht werden.

ER HINTERLÄSST KEINE SPUREN

„Neben der Verbreitungsmethode direkt von einem USB-Stick aus, sorgt auch die Struktur für Aufsehen. Eine AES-128-Verschlüsselung und einen Schlüssel, der aus der USB-ID generiert wird, sieht man nicht alle Tage bei einem USB-Trojaner“, sagt Raphael Labaca Castro, Security Researcher bei ESET.

„Offenbar wurde diese Malware für gezielte Angriffe auf Systeme entwickelt, die nicht mit dem Internet verbunden sind“, so Tomas Gardo, Malware Analyst bei ESET. Bei ESET. USB Thief wird nur auf USB-Sticks ausgeführt und hinterlässt keinerlei Spuren. Sobald der USB-Stick aus dem Computersystem entfernt wird, gibt es keine Beweise mehr für einen Datendiebstahl. Geschädigte Opfer merken so nicht einmal, dass ihre Daten gestohlen wurden. USB Thief verbreitet sich nicht über das infizierte System – was sehr ungewöhnlich für einen Trojaner ist. Obendrein nutzt die Malware eine mehrstufige Verschlüsselung, die an den USB-Stick gebunden ist. Dadurch gestaltet sich die Analyse des Schädlings als äußerst kompliziert.

UNGEWÖHNLICHES VERHALTEN

Der Trojaner kann als Plug-In oder als Dynamic Link Library (Programmbibliothek) auf dem Datenspeicher gesichert werden. Mit diesem Verfahren läuft die Malware als Hintergrundprozess auf dem Speichersystem. „Diese Vorgehensweise ist sehr ungewöhnlich und gleichzeitig auch sehr gefährlich. Nutzer sollten sich die möglichen Gefahren, die von externen Datenspeichern ausgehen können, bewusst machen. Vor allem wenn sie aus unbekannten Quellen stammen, ist Vorsicht geboten“, fügt Tomss Gardo. hinzu.

Wie Untersuchungen von ESET zeigen, ist die Malware aktuell noch nicht weit verbreitet. Dennoch hat sie großes Potential für zielgerichtete Attacken, insbesondere auf Computersysteme, die aus Sicherheitsgründen nicht mit dem Internet verbunden sind – sogenannten „air-gapped Systemen“.

Die Vorgehensweise erinnert unter anderem an die von ESET 2014 entdeckte Malware „Win32/USBStealer“, die ebenfalls das Air Gap überbrückt. Sie wurde von der Sednit-Cyber-Spionagegruppe genutzt, um über Wechseldatenträger von der Außenwelt isolierte Systeme anzugreifen. Diese Schadsoftware war jedoch noch nicht ganz so ausgereift wie der aktuelle Schädlingsfund. (rnf)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*