• Home
  • Forum
  • Shop
  • Spenden
  • Podcast
Tarnkappe.info Logo
IT Sicherheit
DatenschutzMalwareOnline-Betrug
Krypto
BlockchainNFT
Szene
Dark-CommerceWarez ListenWarez
Entertainment
 



Tarnkappe.info > Artikel > IT Sicherheit > Malware > Windows Logo enthält Backdoor – Malware tarnt sich als Bild

Windows-Logo und ein Vorhängeschloss auf einer Tastatur
Windows-Logo und ein Vorhängeschloss auf einer Tastatur
Bildquelle: tomeqs, Lizenz

Windows Logo enthält Backdoor – Malware tarnt sich als Bild

30.9.22 21:02 von Marc Stöckel Lesezeit: 3 Min.

Eine Hackergruppe nutzt eine Bilddatei mit einem harmlosen Windows-Logo, um die Systeme ihrer Opfer mit einer Malware zu infizieren.

Inhalt

  • Hackergruppe Witchetty greift Regierungen an im Nahen Osten an
  • In einer Bitmap verschlüsselte Backdoor liegt auf GitHub
  • Alte Sicherheitslücken erlauben Download des Windows-Logos

Die Hackergruppe Witchetty mit chinesischen Verbindungen hat es auf Regierungen im Nahen Osten abgesehen. Für ihre Angriffe nutzt sie eine in verschlüsselter Form in einer Bitmap, die ein Windows-Logo darstellt, abgelegte Backdoor. Doch im ersten Schritt kommen alte Sicherheitslücken zum Einsatz.

Hackergruppe Witchetty greift Regierungen an im Nahen Osten an

Bei Angriffen auf Regierungen im Nahen Osten wendet die unter dem Namen Witchetty bekannte Hackergruppe einen stenografischen Trick an, um eine Backdoor in einem Windows-Logo zu verstecken. Die Hacker scheinen dem Bericht des Symantec Threat Hunter Teams von Broadcom zufolge eine von drei Untergruppen der TA410 mit engen Verbindungen zum chinesischen Bedrohungsakteur Cicada (APT10) zu sein.

Die im April 2022 erstmals von ESET dokumentierte Hackergruppe betreibt demnach seit Februar 2022 eine neue Cyberspionage-Kampagne, mit der sie neben den Regierungen im Nahen Osten auch eine Börse in Afrika ins Visier nimmt.

In einer Bitmap verschlüsselte Backdoor liegt auf GitHub

Neben der LookBack-Backdoor nutzt Witchetty noch weitere Malware-Typen für ihre Angriffe auf Windows-Systeme. Darunter auch die Backdoor.Stegmap, die Steganografie nutzt, um ihre Nutzlast aus einem Bitmap-Bild zu extrahieren. Und obwohl dieses Verfahren nur selten bei Hackerangriffen zum Einsatz kommt, handelt es sich dabei um eine sehr effektive Methode, um schadhaften Code in harmlos erscheinenden Bildern zu verstecken.

Das erlaubt es den Hackern laut dem Bericht der Sicherheitsforscher, die getarnte Nutzlast auf einem vertrauenswürdigen Dienst wie einem GitHub-Repository zu speichern und im Falle eines Angriffs von dort abzurufen. Denn ein Download von GitHub ist für Sicherheitssysteme weitaus weniger auffällig, als wenn er direkt von einem Command-and-Control-Server der Angreifer erfolgt.

Es handelt sich bei dem Inhalt der Bitmap-Datei um ein altes Windows-Logo. Darin enthalten ist die Nutzlast der Malware in verschlüsselter Form. Mit einem einfachen XOR-Schlüssel kann diese jedoch entschlüsselt werden.

Des Weiteren verwenden die Hacker ein paar benutzerdefinierte Tools wie ein Proxy-Dienstprogramm, einen Port-Scanner und ein Persistenz-Dienstprogramm. Aber auch Mimikatz und Windows-Bordmittel wie CMD, WMIC und PowerShell gehören zum Werkzeugkasten von Witchetty.

Mehr zum Thema

Eine Infostealer-Malware stiehlt unter anderem Deine Zugangsdaten (Symbolbild)

KI-Videos auf YouTube verbreiten Infostealer-Malware statt Cracks

Jugendlicher demonstriert, wie man Autos von Kia oder Hyundai klaut (Symbolbild)

Jugendliche klauen Autos: Kia und Hyundai besonders gefährdet

Ein Angreifer, der via Android-Malware Geld von Deinem Konto entfernt (Symbolbild)

Diese Xenomorph Android-Malware willst Du echt lieber entfernen

Alte Sicherheitslücken erlauben Download des Windows-Logos

Laut BleepingComputer starten die Angreifer damit, dass sie Webshells auf anfälligen Servern ablegen. Dafür nutzen sie einige bekannte Sicherheitslücken wie Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) oder ProxyLogon (CVE-2021-26855 und CVE-2021-27065) aus. Zweiteren Fall machte sich auch die Ransomwaregruppe DEV-0270 zunutze. Über deren Angriffe auf Basis des in Windows integrierten Bitlockers hatten wir erst kürzlich berichtet.

Als Nächstes erfolgt der Download und die Entschlüsselung der Bitmap. Die enthaltene Backdoor erlaubt es den Hackern schließlich, zahlreiche Aktionen auf dem infiltrierten System auszuführen. Darunter Änderungen an Dateien, Verzeichnissen, laufenden Prozessen, der Windows-Registrierung sowie Up- und Download beliebiger Daten.

Da die ausgenutzten Schwachstellen schon älter sind, scheinen die Hacker vorrangig Windows-Systeme anzugreifen, deren Administratoren die Installation von Sicherheitsupdates vernachlässigt haben. Es empfiehlt sich also einmal mehr, seine Systeme stets auf dem neusten Stand zu halten.

Tarnkappe.info

6 Kommentare lesen

Marc Stöckel

Über Marc Stöckel

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.
 

Newsletter

Eine Infostealer-Malware stiehlt unter anderem Deine Zugangsdaten (Symbolbild)

KI-Videos auf YouTube verbreiten Infostealer-Malware statt Cracks

Unter so manch einem KI-Video auf YouTube versteckt sich statt der versprochenen Cracks eine Infostealer-Malware wie Raccoon oder RedLine.

Jugendlicher demonstriert, wie man Autos von Kia oder Hyundai klaut (Symbolbild)

Jugendliche klauen Autos: Kia und Hyundai besonders gefährdet

Immer mehr Jugendliche klauen Autos von Kia oder Hyundai und lassen diese nach einer Spritztour einfach stehen. Ist ja auch nicht schwer.

Ein Angreifer, der via Android-Malware Geld von Deinem Konto entfernt (Symbolbild)

Diese Xenomorph Android-Malware willst Du echt lieber entfernen

Eine Android-Malware, die Du besser schnell entfernen solltest: Xenomorph knackt automatisiert Dein Bankkonto und stiehlt Dein Geld.

Admin des NetWire RAT verhaftet (Symbolbild)

Das Aus für NetWire RAT: FBI zerschlägt Malware-Infrastruktur

Für die Beschlagnahmung der Domain und des Infrastruktur-Servers der Malware "NetWire RAT" kooperierte das FBI mit mehreren Polizeibehörden.

Ein geöffnetes Schloss

Bitwarden Sicherheit: Autofill bringt Deine Passwörter in Gefahr

Sicherheit von Bitwarden auf dem Prüfstand: Angreifer können die Autofill-Funktion missbrauchen, um Deine Zugangsdaten zu stehlen.

Laptop mit Microsoft Word-Logo

Microsoft Word Sicherheitslücke überlässt Hackern Dein System

Durch eine kritische Sicherheitslücke in Microsoft Word können Angreifer aus der Ferne beliebigen Code auf Deinem Rechner ausführen.

DoppelPaymer: LKA NRW enttarnt internationales Hacker-Netzwerk

DoppelPaymer: internationales Hacker-Netzwerk enttarnt

Das international agierende Hacker-Netzwerk DoppelPaymer soll mindestens 601 Unternehmen, Institutionen und Privatpersonen geschädigt haben.

Social MediaWerbungDatenschutzerklärungImpressumÜber unsKontaktPressespiegel
Kategorien
RezensionenGlosseInternJurassic PackDrachenlordLesetipps
Social Media

© 2014-2023 Tarnkappe.info

ZURÜCK  WEITER