• Home
  • Forum
  • Shop
  • Spenden
  • Podcast
  • Newsletter
Tarnkappe.info Logo 
IT Sicherheit
DatenschutzMalwareOnline-Betrug
Krypto
BlockchainNFT
Szene
Dark-CommerceWarez ListenWarez
Newsticker
  • Home
  • Forum
  • Shop
  • Spenden
  • Podcast
  • Newsletter
 



Tarnkappe.info > Artikel > IT Sicherheit > Malware > Windows Logo enthält Backdoor – Malware tarnt sich als Bild

Windows-Logo und ein Vorhängeschloss auf einer Tastatur
Windows-Logo und ein Vorhängeschloss auf einer Tastatur
Bildquelle: tomeqs, Lizenz

Windows Logo enthält Backdoor – Malware tarnt sich als Bild

30.09.2022 von Marc Stöckel Lesezeit: 3 Min.

Eine Hackergruppe nutzt eine Bilddatei mit einem harmlosen Windows-Logo, um die Systeme ihrer Opfer mit einer Malware zu infizieren.

Inhalt

  • Hackergruppe Witchetty greift Regierungen an im Nahen Osten an
  • In einer Bitmap verschlüsselte Backdoor liegt auf GitHub
  • Alte Sicherheitslücken erlauben Download des Windows-Logos

Die Hackergruppe Witchetty mit chinesischen Verbindungen hat es auf Regierungen im Nahen Osten abgesehen. Für ihre Angriffe nutzt sie eine in verschlüsselter Form in einer Bitmap, die ein Windows-Logo darstellt, abgelegte Backdoor. Doch im ersten Schritt kommen alte Sicherheitslücken zum Einsatz.

Hackergruppe Witchetty greift Regierungen an im Nahen Osten an

Bei Angriffen auf Regierungen im Nahen Osten wendet die unter dem Namen Witchetty bekannte Hackergruppe einen stenografischen Trick an, um eine Backdoor in einem Windows-Logo zu verstecken. Die Hacker scheinen dem Bericht des Symantec Threat Hunter Teams von Broadcom zufolge eine von drei Untergruppen der TA410 mit engen Verbindungen zum chinesischen Bedrohungsakteur Cicada (APT10) zu sein.

Die im April 2022 erstmals von ESET dokumentierte Hackergruppe betreibt demnach seit Februar 2022 eine neue Cyberspionage-Kampagne, mit der sie neben den Regierungen im Nahen Osten auch eine Börse in Afrika ins Visier nimmt.

In einer Bitmap verschlüsselte Backdoor liegt auf GitHub

Neben der LookBack-Backdoor nutzt Witchetty noch weitere Malware-Typen für ihre Angriffe auf Windows-Systeme. Darunter auch die Backdoor.Stegmap, die Steganografie nutzt, um ihre Nutzlast aus einem Bitmap-Bild zu extrahieren. Und obwohl dieses Verfahren nur selten bei Hackerangriffen zum Einsatz kommt, handelt es sich dabei um eine sehr effektive Methode, um schadhaften Code in harmlos erscheinenden Bildern zu verstecken.

Das erlaubt es den Hackern laut dem Bericht der Sicherheitsforscher, die getarnte Nutzlast auf einem vertrauenswürdigen Dienst wie einem GitHub-Repository zu speichern und im Falle eines Angriffs von dort abzurufen. Denn ein Download von GitHub ist für Sicherheitssysteme weitaus weniger auffällig, als wenn er direkt von einem Command-and-Control-Server der Angreifer erfolgt.

Es handelt sich bei dem Inhalt der Bitmap-Datei um ein altes Windows-Logo. Darin enthalten ist die Nutzlast der Malware in verschlüsselter Form. Mit einem einfachen XOR-Schlüssel kann diese jedoch entschlüsselt werden.

Des Weiteren verwenden die Hacker ein paar benutzerdefinierte Tools wie ein Proxy-Dienstprogramm, einen Port-Scanner und ein Persistenz-Dienstprogramm. Aber auch Mimikatz und Windows-Bordmittel wie CMD, WMIC und PowerShell gehören zum Werkzeugkasten von Witchetty.

Alte Sicherheitslücken erlauben Download des Windows-Logos

Laut BleepingComputer starten die Angreifer damit, dass sie Webshells auf anfälligen Servern ablegen. Dafür nutzen sie einige bekannte Sicherheitslücken wie Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) oder ProxyLogon (CVE-2021-26855 und CVE-2021-27065) aus. Zweiteren Fall machte sich auch die Ransomwaregruppe DEV-0270 zunutze. Über deren Angriffe auf Basis des in Windows integrierten Bitlockers hatten wir erst kürzlich berichtet.

Als Nächstes erfolgt der Download und die Entschlüsselung der Bitmap. Die enthaltene Backdoor erlaubt es den Hackern schließlich, zahlreiche Aktionen auf dem infiltrierten System auszuführen. Darunter Änderungen an Dateien, Verzeichnissen, laufenden Prozessen, der Windows-Registrierung sowie Up- und Download beliebiger Daten.

Da die ausgenutzten Schwachstellen schon älter sind, scheinen die Hacker vorrangig Windows-Systeme anzugreifen, deren Administratoren die Installation von Sicherheitsupdates vernachlässigt haben. Es empfiehlt sich also einmal mehr, seine Systeme stets auf dem neusten Stand zu halten.

6 Kommentare lesen

Über Marc Stöckel

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.



AVCheck zerschlagen: Behörden schlagen zu, Szene rüstet nach

Nach dem Bust von AVCheck steht die Szene Kopf. Lies jetzt, warum Counter-AV-Dienste nicht totzukriegen sind – und wie es weitergeht.

Flipper Zero: Symbol für die Lücken moderner Autosicherheit.

Flipper Zero im Untergrund: Wie das Hacking-Gadget zum Türöffner für Autodiebe wird

Flipper Zero im Untergrund: Hacker "Daniel" verkauft modifizierte Firmware, mit der sich hunderte unterschiedliche Autos entsperren lassen.

Ende des Windows 10 Supports, ESU-Updates gratis, Microsoft Activation Script

Microsoft Activation Script (MAS) versorgt Windows 10 weiterhin mit kostenlosen Updates

Das kostenlose Microsoft Activation Script (MAS) versorgt Windows 10 nach Supportende mit Updates. Das ist aber alles andere als legal.

ECHO gegen Malware: Zerstörung der Schadsoftware von innen heraus.

ECHO gegen Malware: Neues Tool zwingt Schadsoftware zur Selbstzerstörung

Cyber-Abwehr der nächsten Generation: Mit dem Open-Source-Tool ECHO wird Malware künftig zur Selbstzerstörung gezwungen.

Flipper Blackhat

Flipper Blackhat: Wenn der Flipper Zero zum portablen Linux-Pen-Tester wird

Wer möchte, kann sein Flipper Zero zu einer Art Schweizer Taschenmesser verwandeln. Damit sind unzählige Penetrationstests möglich.

REWE Bonus, ein Cyberkrimineller geht für lau einkaufen!

REWE Bonus – der feuchte Traum der Betrüger?

Die Zwei-Faktor-Authentifizierung der REWE Bonus-App hält nicht, was sie verspricht: Sicherheit. Sie lässt Kriminellen Hintertüre offen.

Nordkorea

Proton Mail sperrt E-Mail-Accounts nach Nordkorea-Hack

Weil der Autor vom PDF-Magazin Phrack „weiteren Schaden an ihrem Dienst verursachen könnte" sperrte Proton Mail mehrere E-Mail-Accounts.

WhatsApp-Malware SORVEPOTEL

WhatsApp-Malware SORVEPOTEL verbreitet sich selbst über Phishing-Nachrichten

Forscher warnen vor der neuen WhatsApp-Malware „SORVEPOTEL“, die sich über Phishing-Nachrichten verbreitet und viele Geräte verseucht hat.

Godfather 2.0“ im Cyber-Filmstudio: Eine virtuelle Banking-App als Bühne für digitalen Datendiebstahl – inszeniert im Schatten von Hollywood.

Godfather 2.0: Android-Malware nutzt Virtualisierung für Banking-Raubzüge in Echtzeit

Godfather 2.0 kapert Banking-Apps per Android-Virtualisierung. Neue Malware-Variante ermöglicht Echtzeit-Diebstahl – trotz echter UI.

Comet, KI-Browser

Brave warnt: Perplexitys KI-Browser gibt sensible Daten preis

Brave warnt: Perplexitys Comet-KI-Browser leitet sensible Daten über Social-Media-Kommentare an Angreifer weiter.

Laptop mit geöffneter Benutzeroberfläche. Auf dem Bildschirm ist die visuelle Darstellung eines Datenlecks bei Google zu sehen, inklusive Warnsymbol (rotes Schloss) und Hinweis auf einen Angriff der Hackergruppe ShinyHunters.

Datenpanne bei Google: ShinyHunters hat zugeschlagen

Google-Leak aufgedeckt: ShinyHunters dringt mit Social Engineering und OAuth-Missbrauch in Salesforce-Daten für KMUs ein.

Digitale Aufrüstung: Der Bundespolizei sollen laut neuem Gesetz weitreichende Überwachungswerkzeuge wie Staatstrojaner, Drohnen und stille SMS zur Verfügung stehen.

Bundes-Trojaner Reloaded: Dobrindt will Bundespolizei zum Hackerstaat machen

Bundes-Trojaner Reloaded: Dobrindt will die Bundespolizei zu Hackern machen. Der neue Entwurf erlaubt Überwachung ohne Verdacht.

Ein Computerbildschirm mit einer geöffneten FMovies-Seite, im Hintergrund erscheint eine Malware-Warnung – ein Symbolbild, das die Gefahr durch Infostealer bei illegalen Streaming-Seiten veranschaulicht.

Piraterie und Malware: Wie FMovies zur Infostealer-Schleuder wurde

Auf einen Film geklickt und dein Passwort ist weg? Piraterie und Malware sind heute enger miteinander verbunden als je zuvor.

Symbolbild: Android-Trojaner RatOn bedroht Bankkonten und Krypto-Wallets.

Android-Trojaner RatOn: Automatische Überweisungen an Hacker & Krypto-Diebstahl im Doppelpack

Neuer Android-Trojaner RatOn bringt automatische Überweisungen, Krypto-Klau & Fake-Ransomware. ThreatFabric deckt die Kampagne auf.

Digitale Bedrohung im Stream: Gen Z gerät zunehmend ins Visier von Cyberkriminellen beim alltäglichen Medienkonsum.

Gefahr beim Streaming: Gen Z-Entertainment im Fokus von Cyberkriminellen

Gefahr beim Streaming – Wie Streaming-Vorlieben der Gen Z zur Angriffsfläche für Cyberkriminelle werden kann.

Detour Dog

Detour Dog und die DNS-TXT-Kommunikation – eine neue Dimension der Malware-Verteilung

Die Malware-Kampagne von Detour Dog ist schon lange aktiv. In Wordpress-Blogs bettete man dafür ein ausgeklügeltes JavaScript ein.

SparkKitty – der Foto-Räuber, den (noch) niemand auf dem Schirm hat

Der SparkKitty Foto-Stealer klaut heimlich eure Bilder und Krypto-Seeds über Apps aus dem Apple-App Store und dem Google-Play Store.

Supply-Chain-Angriff: NPM-Pakete mit 2,6 Milliarden Downloads pro Woche infiziert

Angreifer haben durch einen Malware in NPM-Pakete eingeschleust, die wöchentlich über 2,6 Milliarden Mal heruntergeladen werden.

WerbungÜber unsKontaktPressespiegel
Kategorien
RezensionenGlosseInternJurassic PackDrachenlordLesetipps
Social Media

Impressum Datenschutz

Tarnkappe.info Logo

© 2014-2024 Tarnkappe.info

ZURÜCK  WEITER
Jetzt Newsletter abonnieren