24. März 2016 Rudolf Felser

USB-Malware mit Tarnkappe

Die von ESET entdeckte Malware "USB Thief" stiehlt Daten von vermeintlich sicheren air-gapped Systemen und bleibt dabei unerkannt. [...]

Der europäische Security-Software-Hersteller ESET hat einen neuen Trojaner entdeckt. Die Malware Win32/PSW.Stealer.NAI, vereinfacht „USB Thief“ genannt, nutzt ausschließlich USB-Sticks zur Verbreitung. Mit dieser tückischen Vorgehensweise werden keine Spuren auf dem infizierten Computer hinterlassen. Die Entwickler haben zudem einen ausgetüftelten Schutzmechanismus entwickelt, der den Trojaner vor Vervielfältigung und Reproduzierung schützt. So ist er schwieriger zu analysieren und kann kaum ausfindig gemacht werden.

ER HINTERLÄSST KEINE SPUREN

„Neben der Verbreitungsmethode direkt von einem USB-Stick aus, sorgt auch die Struktur für Aufsehen. Eine AES-128-Verschlüsselung und einen Schlüssel, der aus der USB-ID generiert wird, sieht man nicht alle Tage bei einem USB-Trojaner“, sagt Raphael Labaca Castro, Security Researcher bei ESET.

„Offenbar wurde diese Malware für gezielte Angriffe auf Systeme entwickelt, die nicht mit dem Internet verbunden sind“, so Tomas Gardo, Malware Analyst bei ESET. Bei ESET. USB Thief wird nur auf USB-Sticks ausgeführt und hinterlässt keinerlei Spuren. Sobald der USB-Stick aus dem Computersystem entfernt wird, gibt es keine Beweise mehr für einen Datendiebstahl. Geschädigte Opfer merken so nicht einmal, dass ihre Daten gestohlen wurden. USB Thief verbreitet sich nicht über das infizierte System – was sehr ungewöhnlich für einen Trojaner ist. Obendrein nutzt die Malware eine mehrstufige Verschlüsselung, die an den USB-Stick gebunden ist. Dadurch gestaltet sich die Analyse des Schädlings als äußerst kompliziert.

UNGEWÖHNLICHES VERHALTEN

Der Trojaner kann als Plug-In oder als Dynamic Link Library (Programmbibliothek) auf dem Datenspeicher gesichert werden. Mit diesem Verfahren läuft die Malware als Hintergrundprozess auf dem Speichersystem. „Diese Vorgehensweise ist sehr ungewöhnlich und gleichzeitig auch sehr gefährlich. Nutzer sollten sich die möglichen Gefahren, die von externen Datenspeichern ausgehen können, bewusst machen. Vor allem wenn sie aus unbekannten Quellen stammen, ist Vorsicht geboten“, fügt Tomss Gardo. hinzu.

Wie Untersuchungen von ESET zeigen, ist die Malware aktuell noch nicht weit verbreitet. Dennoch hat sie großes Potential für zielgerichtete Attacken, insbesondere auf Computersysteme, die aus Sicherheitsgründen nicht mit dem Internet verbunden sind – sogenannten „air-gapped Systemen“.

Die Vorgehensweise erinnert unter anderem an die von ESET 2014 entdeckte Malware „Win32/USBStealer“, die ebenfalls das Air Gap überbrückt. Sie wurde von der Sednit-Cyber-Spionagegruppe genutzt, um über Wechseldatenträger von der Außenwelt isolierte Systeme anzugreifen. Diese Schadsoftware war jedoch noch nicht ganz so ausgereift wie der aktuelle Schädlingsfund. (rnf)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*