Der Poweliks-Trojaner wird dateilos, um der Erkennung und Entfernung zu entgehen

Symantec

Ein kürzlich entdeckter Trojaner in freier Wildbahn existiert nicht als nachweisbare Datei auf kompromittierten PCs, um unter dem Radar verborgen zu bleiben, da er Hackern Einnahmen durch Anzeigenklicks generiert.

Der Trojaner Poweliks wurde ständig weiterentwickelt, um eine Erkennung durch die heutigen Antivirensysteme zu vermeiden. Der Trojaner wurde erstmals 2014 entdeckt und verwendet nun interessante Techniken, um Opfersysteme zu infizieren und unentdeckt zu bleiben – beispielsweise, dateilos zu bleiben.

Von Symantec-Forschern untersucht und in einem Blog-Beitrag am Dienstag erklärt, ist die Malware, die verwendet wird, um durch Anzeigenklick-Betrug Einnahmen für Cyberangriffe zu erzielen, jetzt eine Registry-basierte Bedrohung, die sich nur in Windows-Registrys befindet – und ohne nennenswerte Dateien und Persistenzmechanismen, die es der Malware ermöglichen, auch nach einem Neustart auf einem PC zu verbleiben.

Poweliks gilt als “dateilose” Bedrohung, die eine Vielzahl von Techniken verwendet, um nur in einer Windows-Registrierung zu existieren. Sicherheitsforscher von Symantec sagen, Poweliks hebt sich aufgrund eines Persistenzmechanismus, der die Verwendung eines legitimen Windows beinhaltet, von der Masse ab rundll32.exe -Datei zum Ausführen von Javascript-Code, der in den Registrierungsunterschlüssel selbst eingebettet ist. Der Code liest zusätzliche Daten aus der Registrierung und dient vor der Ausführung als Nutzlast. Einige dieser Daten werden verschlüsselt und nach der Ausführung wird ein sogenannter “Watchdog-Prozess” installiert.

Ein Watchdog-Prozess wird verwendet, um sicherzustellen, dass die Malware noch funktioniert. Wenn Poweliks nicht mehr ausgeführt wird und die Registrierungsunterschlüssel der Malware gelöscht wurden, setzt der Prozess die Unterschlüssel wieder ein.

Um Poweliks am Laufen zu halten, ändert Watchdog die Zugriffsrechte, um den Zugriff zu verhindern, und verwendet nicht druckbare Zeichen, damit die Schlüssel versteckt werden können, so die Firma.

screen-shot-2015-06-10-at-11-07-43.png

Darüber hinaus sagt Symantec, dass die Microsoft Windows Remote Privilege Escalation Vulnerability (CVE-2015-0016) von dem Trojaner ausgenutzt werden könnte, um die Kontrolle über einen kompromittierten Computer zu erlangen. Die Schwachstelle wurde auf aktuellen Systemen gepatcht, aber diejenigen, die ihre Systeme nicht gepatcht haben, sind anfällig.

Das Sicherheitsteam sagt:

Kaspersky Security Summit

  • Chips unter der Haut: Biohacking, der vernetzte Körper soll bleiben
  • Jenseits von Stuxnet und Flame: Equation ‘fortschrittlichste’ Cyberkriminelle-Gang aufgezeichnet
  • Bug Bounties: “Kaufen Sie, was Sie wollen”
  • Terroristische Verschlüsselungstools sind nichts anderes als “Sicherheitsumhang” und eine rote Flagge der Regierung

„Trojan.Bedep nutzte diesen Zero-Day-Exploit auch, um die Kontrolle über kompromittierte Computer zu übernehmen, und zwar ungefähr zur gleichen Zeit, als Poweliks die Sicherheitsanfälligkeit ausnutzte. Dies führte uns zu der Erkenntnis, dass es eine Verbindung zwischen Poweliks und Bedep geben könnte.

Bedep ist ein Downloader und eine der Bedrohungen, die er häufig auf kompromittierte Computer herunterlädt, ist Poweliks.”

Trotz der ausgeklügelten Techniken, die Poweliks einsetzt, um unentdeckt auf Computersystemen zu lauern, ist die Malware letztendlich immer noch nur ein Trojaner für Klickbetrug, der verwendet wird, um durch Betrug Geld zu verdienen. Der Trojaner fordert Anzeigen basierend auf Schlüsselwörtern an, manipuliert Suchen, um sie wie legitime Benutzeranfragen erscheinen zu lassen, und navigiert zu der URL, die das Werbenetzwerk bei der Suche zurückgibt. Dies wiederum ermöglicht es dem Bedrohungsakteur, Geld basierend auf den Klickraten zu verdienen.

Diese Anzeigen werden den Opfern jedoch nicht angezeigt, sodass sie die Infektion länger nicht bemerken. Die Anzeigen selbst sind kein so großes Problem im Vergleich zu der riesigen Menge an Anzeigen, die Poweliks an die Opfer sendet, die nach Angaben des Sicherheitsteams bis zu 3.000 pro Tag erreichen können.

Infolgedessen kann dieser hohe Zustrom von Anzeigen dazu führen, dass die Computer der Opfer verstopft, der Speicher belegt wird und auch ein Tunnel für den Download zusätzlicher Malware bereitgestellt wird.

Poweliks kann beispielsweise einen Kanal für den Download von Ransomware bereitstellen, der dazu führen kann, dass ein Computer gesperrt, seine Dateien verschlüsselt und das Opfer eine Geldforderung zum Entsperren seines PCs erhält.

Siehe auch: Tox-Ransomware-Besitzer „vermasselt“ und bietet Plattform zum Verkauf an | Ransomware-Rettungskit zur Bekämpfung krimineller Unternehmen veröffentlicht

Dieses Tool ist verfügbar, um Infektionen von Ihrem Computer zu entfernen, wenn Sie vermuten, dass diese Malware vorhanden ist.

Leitfaden für Geschenke zum Vatertag 2015 für Technik und Gadgets SIEHE VOLLSTÄNDIGE GALERIE

15 von 16 NÄCHSTE ZURÜCK

Lesen Sie weiter: In der Welt der Sicherheit

  • Grabit-Kampagne spioniert kleine und mittlere Unternehmen aus, stiehlt sensible Daten
  • Hola: Ein kostenloses VPN mit einer Seite von Botnet
  • Forscher verfolgen Pendler mit gestohlenen Daten des mobilen Beschleunigungsmessers
  • Einzelhändler, die durch Stellenanfragen von neuer Point-of-Sale-Malware angegriffen werden
  • Ransomware-Rettungskit zur Bekämpfung krimineller Unternehmen veröffentlicht

Lesen Sie weiter: Korrekturen und Fehler

  • Sicherheitslücke ermöglicht die Manipulation von Android-Apps durch einen einzigen URL-Klick
  • NetUSB-Fehler macht „Millionen“ von Routern und IoT-Geräten anfällig für Hacking
  • Samsung-Sicherheit: Wie lange ist „zu lang“ zum Patchen?
  • Cloud-Dienste für Unternehmen, die für Logjam anfällig sind

Leave a Comment