Forenübersicht
»
Talk
»
News

Erpressungstrojaner PowerWare überlässt PowerShell die dreckige Arbeit


Hinweise


Willkommen

Navigation


Partner Links

 
Antwort Themen-Optionen Ansicht
Ungelesen 27.03.16, 18:23   #1
Benutzerbild von vladi63
Mitglied seit: Dec 2014
Beiträge: 1.602
vladi63 ist offline
vladi63
Banned
 
Erpressungstrojaner PowerWare überlässt PowerShell die dreckige Arbeit



Über einen perfiden Hackerangriff, der sich Windows PowerShell zu Nutze macht, berichten Sicherheitsforscher von Carbon Black. Das Unternehmen hat nun den Angriff auf eine Firma aus dem Gesundheitsbereich durch den "PowerWare" getauften Verschlüsselungstrojaner publik gemacht.

Wie nun Kaspersky Lab bei Threatpost berichtet, ist die neue Ransomware durch ihren quasi dateilosen Angriff eine völlig neue Herausforderung an die Absicherung von Computern. Denn der Verschlüsselungstrojaner benötigt keine an sich manipulierte Datei, sondern nur ein Text-Dokument das vollkommen "sauber" ist und lediglich die Makros aktiviert. PowerWare benötigt also für den eigentlichen Angriff, für den Zugriff auf das fremde System, keine weitere Software und kann zum Beispiel einfach über einen Email-Anhang eingeschleust werden.



Der Angriff über die Makros folgt einem ähnlichen Schema, wie es der Erpressungstrojaner Locky vormacht. Neu bei PowerWare ist aber, dass die PowerShell dazu ausgenutzt wird die ganze "dreckige Arbeit zu machen", so Kaspersky. Locky hingegen ist einfacher zu entdecken, da die Malware sich nach dem Eindringen durch das Schlupfloch der Makro-Aktivierung weitere ausführbare Software nachlädt, um dann sein Unheil zu verbreiten.

Klassischer Verschlüsselungstrojaner
PowerWare geht anschließend wie jeder klassische Verschlüsselungstrojaner vor. Die Daten auf dem angegriffenen System werden verschlüsselt, und es wird eine Zahlungsaufforderung für die Wiederfreigabe der Dokumente angezeigt.

Die Sicherheitsforscher von Carbon Black empfehlen, Eingabeaufforderungen aus Word zu blockieren. Nur so könnte man jetzt sicherstellen, dass über eine fremde Datei kein Angriff via PowerShell ausgeführt werden könne.

Wie gefährlich der neu entdeckte Trojaner in freier Wildbahn sein könnte, sind sich die Sicherheitsforscher noch uneins. Grund dafür ist die Art der Systemkaperung über die PowerShell, wodurch der Trojaner für Virenscanner und Co nahezu unsichtbar arbeitet. Carbon Black selbst empfiehlt die eigene Sicherheitslösung, die bereits auf die neue Masche eingestellt ist.

Quelle
Mit Zitat antworten Beitrag melden
   
Antwort


 

Ähnliche Themen
Thema Forum
Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht News


« Vorheriges Thema | Nächstes Thema »



Jetzt registrieren


Registrieren | Forum-Mitarbeiter | Kontakt | Nutzungsbedingungen | Archiv

Alle Zeitangaben in WEZ +2. Es ist jetzt 06:57 Uhr.

All trademarks are the property of their respective owners.
Copyright ©2019 Boerse.IM/AM/IO/AI



().