• Home
  • Forum
  • Shop
  • Spenden
  • Podcast
  • Newsletter
Tarnkappe.info Logo
IT Sicherheit
DatenschutzMalwareOnline-Betrug
Krypto
BlockchainNFT
Szene
Dark-CommerceWarez ListenWarez
Newsticker
 



Tarnkappe.info > Artikel > IT Sicherheit > Malware > Windows Logo enthält Backdoor – Malware tarnt sich als Bild

Windows-Logo und ein Vorhängeschloss auf einer Tastatur
Windows-Logo und ein Vorhängeschloss auf einer Tastatur
Bildquelle: tomeqs, Lizenz

Windows Logo enthält Backdoor – Malware tarnt sich als Bild

30.09.2022 von Marc Stöckel Lesezeit: 3 Min.

Eine Hackergruppe nutzt eine Bilddatei mit einem harmlosen Windows-Logo, um die Systeme ihrer Opfer mit einer Malware zu infizieren.

Inhalt

  • Hackergruppe Witchetty greift Regierungen an im Nahen Osten an
  • In einer Bitmap verschlüsselte Backdoor liegt auf GitHub
  • Alte Sicherheitslücken erlauben Download des Windows-Logos

Die Hackergruppe Witchetty mit chinesischen Verbindungen hat es auf Regierungen im Nahen Osten abgesehen. Für ihre Angriffe nutzt sie eine in verschlüsselter Form in einer Bitmap, die ein Windows-Logo darstellt, abgelegte Backdoor. Doch im ersten Schritt kommen alte Sicherheitslücken zum Einsatz.

Hackergruppe Witchetty greift Regierungen an im Nahen Osten an

Bei Angriffen auf Regierungen im Nahen Osten wendet die unter dem Namen Witchetty bekannte Hackergruppe einen stenografischen Trick an, um eine Backdoor in einem Windows-Logo zu verstecken. Die Hacker scheinen dem Bericht des Symantec Threat Hunter Teams von Broadcom zufolge eine von drei Untergruppen der TA410 mit engen Verbindungen zum chinesischen Bedrohungsakteur Cicada (APT10) zu sein.

Die im April 2022 erstmals von ESET dokumentierte Hackergruppe betreibt demnach seit Februar 2022 eine neue Cyberspionage-Kampagne, mit der sie neben den Regierungen im Nahen Osten auch eine Börse in Afrika ins Visier nimmt.

In einer Bitmap verschlüsselte Backdoor liegt auf GitHub

Neben der LookBack-Backdoor nutzt Witchetty noch weitere Malware-Typen für ihre Angriffe auf Windows-Systeme. Darunter auch die Backdoor.Stegmap, die Steganografie nutzt, um ihre Nutzlast aus einem Bitmap-Bild zu extrahieren. Und obwohl dieses Verfahren nur selten bei Hackerangriffen zum Einsatz kommt, handelt es sich dabei um eine sehr effektive Methode, um schadhaften Code in harmlos erscheinenden Bildern zu verstecken.

Das erlaubt es den Hackern laut dem Bericht der Sicherheitsforscher, die getarnte Nutzlast auf einem vertrauenswürdigen Dienst wie einem GitHub-Repository zu speichern und im Falle eines Angriffs von dort abzurufen. Denn ein Download von GitHub ist für Sicherheitssysteme weitaus weniger auffällig, als wenn er direkt von einem Command-and-Control-Server der Angreifer erfolgt.

Es handelt sich bei dem Inhalt der Bitmap-Datei um ein altes Windows-Logo. Darin enthalten ist die Nutzlast der Malware in verschlüsselter Form. Mit einem einfachen XOR-Schlüssel kann diese jedoch entschlüsselt werden.

Des Weiteren verwenden die Hacker ein paar benutzerdefinierte Tools wie ein Proxy-Dienstprogramm, einen Port-Scanner und ein Persistenz-Dienstprogramm. Aber auch Mimikatz und Windows-Bordmittel wie CMD, WMIC und PowerShell gehören zum Werkzeugkasten von Witchetty.

Alte Sicherheitslücken erlauben Download des Windows-Logos

Laut BleepingComputer starten die Angreifer damit, dass sie Webshells auf anfälligen Servern ablegen. Dafür nutzen sie einige bekannte Sicherheitslücken wie Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) oder ProxyLogon (CVE-2021-26855 und CVE-2021-27065) aus. Zweiteren Fall machte sich auch die Ransomwaregruppe DEV-0270 zunutze. Über deren Angriffe auf Basis des in Windows integrierten Bitlockers hatten wir erst kürzlich berichtet.

Als Nächstes erfolgt der Download und die Entschlüsselung der Bitmap. Die enthaltene Backdoor erlaubt es den Hackern schließlich, zahlreiche Aktionen auf dem infiltrierten System auszuführen. Darunter Änderungen an Dateien, Verzeichnissen, laufenden Prozessen, der Windows-Registrierung sowie Up- und Download beliebiger Daten.

Da die ausgenutzten Schwachstellen schon älter sind, scheinen die Hacker vorrangig Windows-Systeme anzugreifen, deren Administratoren die Installation von Sicherheitsupdates vernachlässigt haben. Es empfiehlt sich also einmal mehr, seine Systeme stets auf dem neusten Stand zu halten.

6 Kommentare lesen

Über Marc Stöckel

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.



Newsletter

Bluetooth-Chip-Backdoor entdeckt: Über 1 Mrd. Geräte betroffen

Eine kritische Bluetooth-Chip Backdoor wurde entdeckt! Die Sicherheitslücke im Bluetooth-Chip ESP32 bedroht über eine Milliarde Geräte.

ECHO gegen Malware: Zerstörung der Schadsoftware von innen heraus.

ECHO gegen Malware: Neues Tool zwingt Schadsoftware zur Selbstzerstörung

Cyber-Abwehr der nächsten Generation: Mit dem Open-Source-Tool ECHO wird Malware künftig zur Selbstzerstörung gezwungen.

Im Visier von Europol

Im Visier von Europol: Operation Endgame führt zu weiteren Verhaftungen

Europol nimmt Cyberkriminelle ins Visier - weitere Festnahmen und Durchsuchungen im Rahmen der "Operation Endgame".

Serverraum, Romantik

Deutsche Bank Sicherheitslücke: Wenn Liebe durch Firewalls geht

Ein verträumtes Liebespaar im Serverraum? Ein Skandal bei der Deutschen Bank offenbart mehr als eklatante Datenschutzverstöße.

Hackerangriff auf Arbeitsamt

Hackerangriff auf Arbeitsamt: Angreifer manipulieren Kundenkonten

Hackerangriff auf Arbeitsamt: Kundenkonten manipuliert - Unbekannte haben über persönliche Endgeräte Kontodaten verändert.

Game Over für klassische Hacker - Künstliche Intelligenz übernimmt das Coding

Immersive World: LLM-Jailbreak-Technik für Zero-Knowledge-Hacker

Die LLM-Jailbreak-Technik "Immersive World" zeigt einmal mehr, wie KI-Modelle durch kreative Manipulation ausgetrickst werden können.

Gefährliche Falle: Cyberkriminelle greifen Millionen Smartphones mit Banking-Trojanern an

Banking-Trojaner auf Android-Smartphones explodieren um 196 %

Kaspersky Security Network weist auf einen deutlichen Anstieg von Banking-Trojanern um 196 % im Jahr 2024 auf Android-Smartphones hin.

Symbolbild: Sicherheitslücke bei Dating-Apps – sensible Nutzerdaten wie private Fotos sind durch ungeschützte Cloud-Speicher öffentlich einsehbar geworden.

Mega-Datenleck bei Dating-Apps: 1,5 Mio. intime Fotos im Netz veröffentlicht

Ein Mega-Datenleck bei Dating-Apps legt offen, wie sorglos viele Anbieter mit sensiblen Nutzerdaten umgehen.

Operation Roter Drache

Operation Roter Drache: Europas Diplomaten in Gefahr?

Operation AkaiRyū: Die APT-Gruppe MirrorFace greift erstmals europäische Diplomaten mit Spear-Phishing und Malware an.

Symbolische Darstellung eines Universal-Bypasses: Durchbrochene Sicherheitsbarrieren und kompromittierte KI-Systeme im Zeitalter der Künstlichen Intelligenz.

Policy Puppetry Attack: Prompt-Injection-Technik erzielt modellübergreifenden KI-Jailbreak-Durchbruch

Sicherheitsforscher enthüllen mit Policy Puppetry Attack einen universellen Bypass, der Schutzmechanismen aller großen KI-Modelle umgeht.

Symbolbild für den digitalen Zugriff auf die Infrastruktur der BlackLock-Ransomware-Gruppe.

BlackLock im Visier: Leak-Schwachstelle offenbart Interna der Ransomware-Gruppe

BlackLock Ransomware-Gruppe enttarnt: Sicherheitsforscher decken über LFI-Schwachstelle interne Strukturen und Tools der Cyberbande auf.

Merkur Online-Casinos

Datenleck bei Merkur Online-Casinos: Spieler können mehr als nur viel Geld verlieren

Die White Hat Hackerin Lilith Wittmann hat erneut zugeschlagen und ein gravierendes Datenleck bei den Merkur Online-Casinos entdeckt.

Eine aktuelle Malwarebytes Warnung beschreibt einen perfiden Clipboard-Hijacking Angriff.

Clipboard-Hijacking Angriff: Gefälschte Captchas als neue Malware-Falle

Ein aktueller Clipboard-Hijacking Angriff über spezielle Websites lädt Malware durch Captchas nach, um Daten zu stehlen.

Windows 10-Geräte nach Support-Ende reif für die Müllhalde?

Windows 10 Support-Ende: Microsoft setzt auf Upgrade oder Recycling

Microsoft beendet 2025 den Support für Windows 10 und fordert Nutzer auf, ihre alten PCs zu recyceln oder auf Windows 11 umzusteigen.

Flashen auf USB: Lieber mit Rufus statt balenaEtcher.

Datenschutzbedenken wegen balenaEtcher: Tails-Team empfiehlt jetzt Rufus

Das Tails-Team warnt vor balenaEtcher wegen Datenschutzbedenken und empfiehlt jetzt Rufus als sicherere Alternative. Erfahre, warum.

Moderne Gefahr durch künstliche Intelligenz: Ein Rentner wird Opfer eines KI-gestützten Bankbetrugs

Bankbetrug durch KI: Rentner im Visier digitaler Betrüger

Ein Rentner wird zum Opfer von KI-gestütztem Bankbetrug. Wie die Täter vorgehen und was man tun kann, um sich zu schützen, erfahrt ihr hier.

Malware auf Android-TV-Boxen: Wie eine Spinne webt die Vo1d-Gang ihr Botnetz.

Malware auf Android-TV-Boxen: Vo1d-Botnetz wächst auf 1,6 Millionen Geräte

300.000 neue Zombies hat die Vo1d-Malware auf Android-Boxen rekrutiert – aber nur bestimmte Geräte sind betroffen.

Ist SimpleWall noch sicher? Open-Source-Firewall für Windows möglicherweise kompromittiert

Ist SimpleWall noch sicher? Nutzer berichten über eine mögliche Kompromittierung der beliebten Open-Source-Firewall.

WerbungÜber unsKontaktPressespiegel
Kategorien
RezensionenGlosseInternJurassic PackDrachenlordLesetipps
Social Media

Impressum Datenschutz

Tarnkappe.info Logo

© 2014-2024 Tarnkappe.info

ZURÜCK  WEITER