Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Verschachteltes Schadprogramm baut Botnetz auf

Die Experten des deutschen Sicherheitsherstellers G Data haben mehrere Schadprogramme entdeckt, die das Ziel haben, ein Botnetz aufzubauen und über den gleichen Command-and-Control-Server gesteuert werden können. Der Weg zur Infektion unterscheidet sich bei den zwei Schädlingen, die die Analysten exemplarisch untersucht haben, allerdings deutlich. Die Sicherheitsexperten vermuten, dass hinter diesem Angriff ein oder mehrere Täter stehen, die den Schadcode massenhaft verbreiten wollen, um dann im Anschluss das Botnetz zu verkaufen oder zu vermieten. Die Schädlinge verbreiten sich über Makros in manipulierten Word-Dokumenten, die im Anhang von Mails verschickt werden. In einigen Fällen verschicken die Betrüger eine gefälschte Bahncard-Rechnung

 

„Die Schadprogramme verhalten sich auf dem System wie eine Matrjoschka-Figur. Erst nach und nach enthüllen sie ihr Potential und ihr eigentliches Ziel“, erklärt Ralf Benzmüller, Leiter der G Data SecurityLabs. „Wir vermuten, dass die infizierten Systeme als Zombie-PCs im Andromeda/Gamarue-Botnetz genutzt werden sollen.“ Als Bahncard-Rechnung getarnt, versuchen die Betrüger in Deutschland, Anwender zu verunsichern. Mit Word-Dokumenten im Anhang sollen Empfänger zum Öffnen der Dateien und Aktivieren der Makro-Einstellungen bewegt werden. Einmal auf dem Rechner versucht die Malware, ihr Vorgehen zu verschleiern. Ziel ist der Aufbau eines Botnetzes. Cyberkriminelle können dadurch die infizierten Systeme ohne das Wissen der Besitzer fernsteuern.

 

Makros sind dazu da, Aufgaben zu automatisieren, so dass diese mit einem Klick ausgeführt werden. Generell sind Makros in Office deaktiviert, da diese ein Sicherheitsrisiko darstellen können. Wie in diesem Beispiel können Cyberkriminelle die nützliche Funktion für ihre bösen Absichten benutzen und Anwender dazu verleiten, die Funktion zu aktivieren. Schädlinge können sich so einschleusen und das System infizieren.

 

Weitere Informationen unter:

https://blog.gdata.de/artikel/botnet-andromedagamarue-ist-wieder-im-anmarsch/

Zurück