info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
G DATA Software AG |

Tarnkappen-Malware: Botnetzsteuerung per Webmail

Bewerten Sie hier diesen Artikel:
1 Bewertung (Durchschnitt: 5)


Bislang unentdeckter Schädling nutzt Yahoo-Mail, um Befehle für seine Schadfunktionen zu empfangen


Ein neuer Tarnkappen-Schadcode kann bekannte Webportale wie Yahoo und Gmail missbrauchen, um von dort Steuerbefehle zu erhalten. Warum ist der Trojaner IcoScript so besonders? Der Schädling nutzt eine eigene Skriptsprache, um sich automatisch mit einem...

Bochum, 18.08.2014 - Ein neuer Tarnkappen-Schadcode kann bekannte Webportale wie Yahoo und Gmail missbrauchen, um von dort Steuerbefehle zu erhalten. Warum ist der Trojaner IcoScript so besonders? Der Schädling nutzt eine eigene Skriptsprache, um sich automatisch mit einem Mail-Account zu verbinden. Dieser Account wurde von Hackern eingerichtet, um den infizierten Rechnern Befehle zu erteilen. Der Zugriff auf Webmailer wird in Unternehmensnetzwerken selten blockiert. So kann der Trojaner unbemerkt Befehle empfangen und ausführen. Die Sicherheitsexperten von G DATA haben den Schädling Win32.Trojan.IcoScript.A genannt. Die ausführliche Analyse wurde im Virus Bulletin Magazin veröffentlicht.

Trojaner befällt Windows-PCs

Der hinterlistige Schädling namens Win32.Trojan.IcoScript.A treibt seit 2012 unentdeckt sein Unwesen. Der Trojaner, ein modular aufgebautes Fernsteuerungstool (engl. RAT; Remote Administration Tool), befällt Windows-PCs. Normalerweise injiziert sich Malware in die Prozesse von Anwendungen. Das wird von Antiviren-Software aber mittlerweile entdeckt. IcoScript hingegen missbraucht die Entwickler-Schnittstelle COM (Component Object Model), um sich in den Internet Explorer einzuklinken. Die COM-Schnittstelle ermöglicht es Entwicklern, u.a. Plugins für den Browser zu schreiben. Für Schadcode-Programmierer bietet diese Funktionalität einen Unterschlupf, um vom Anwender und dem Virenschutz unbemerkt den Browser zu kompromittieren. Danach sehen die Daten auf dem Rechner und im Netzwerk aus wie ganz normale Surfdaten. Die Malware-Autoren müssen sich auch nicht um die Netzwerkeinstellungen kümmern. Sie können so übernommen werden, wie sie im Browser eingestellt sind. 'Diese variabel anpassbare Malware, die ihre Aktionen in reguläre Datenströme einnistet, stellt IT-Sicherheitsabteilungen und Abwehrsysteme vor große Schwierigkeiten', meint Ralf Benzmüller, Leiter der G DATA SecurityLabs. 'Der Schädling zeigt wieder einmal, wie gut Schadcode-Entwickler auf Abwehrmaßnahmen reagieren.'

IcoScript missbraucht Webmailer für Kommandofunktion

Dazu bedient sich IcoScript des Internet Explorers und missbraucht unter anderem Webmailer wie Yahoo für seine Kommando- und Kontrollfunktionen. Um die E-Mails aus dem präparierten Postfach abzuholen, wurde IcoScript mit einer eigenen Skriptsprache versehen, die es ermöglicht, automatisierte Aktionen auf den Webseiten der Webportale auszuführen. IcoScript.A öffnet dazu das Mailportal von Yahoo, loggt sich ein und ruft die Mails ab. Die Mails werden auf Steuercodes untersucht und als Befehle an das Schadprogramm weiter gegeben. Über die E-Mails können auch Daten aus dem Netzwerk versendet werden. 'Diese Vorgehensweise ist nicht auf Yahoo beschränkt. Sie eignet sich für viele Webportale wie etwa Gmail, Outlook.com, web.de, aber auch LinkedIn, Facebook und andere soziale Netzwerke könnten so missbraucht werden" erläutert Ralf Benzmüller.

Virus Bulletin ist feste Größe in der AV-Industrie

Die Analyse wurde mit dem Titel 'IcoScript: Using Webmail to control malware' im britischen IT-Magazin Virus Bulletin veröffentlicht. 'IcoScript ist ein sehr spezieller Schädling. Wir freuen uns über die Veröffentlichung des Artikels in diesem renommierten Fachmagazin und sehen das als Anerkennung unserer Forschungsarbeit. Virus Bulletin ist eine feste Größe in der Antiviren-Industrie und hat seit Jahren einen herausragend guten Ruf für seine unabhängigen und professionellen Informationen über Malware', betont Ralf Benzmüller.

Den gesamten Artikel gibt es auf Englisch auf der Internetseite von Virus Bulletin in der HTML-Version: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript oder als PDF: https://www.virusbtn.com/pdf/magazine/2014/vb201408-IcoScript.pdf


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 475 Wörter, 4086 Zeichen. Als Spam melden

Unternehmensprofil: G DATA Software AG


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von G DATA Software AG lesen:

G DATA Software AG | 29.11.2016

DDoS-Attacken frühzeitig erkennen

Bochum, 29.11.2016 - Welche dramatischen Auswirkungen DDoS-Angriffe (Distributed Denial of Service) auf das digitale Ökosystem haben, mussten Internetnutzer und Unternehmen im vergangenen Monat leidvoll erfahren. Große Internetunternehmen und ihre ...
G DATA Software AG | 09.11.2016

Effektive IT-Strategie ist im Gesundheitswesen ein Muss

Bochum, 09.11.2016 - Die Sicherheitsanforderungen im medizinischen Bereich sind besonders hoch. Oberste Priorität haben die Aufrechterhaltung des Betriebes sowie der Schutz sensibler Patientendaten. Wenn personenbezogene Informationen z. B. durch ei...
G DATA Software AG | 27.10.2016

G DATA schützt IT-Infrastruktur des VfL Bochum 1848

Bochum, 27.10.2016 - G DATA schützt den VfL Bochum 1848: Der IT-Sicherheits-Hersteller ist ab sofort neuer NETZWERK PARTNER des Fußball-Zweitligisten und sichert effektiv und umfassend die gesamte IT-Infrastruktur des Traditionsvereins. Vertraulich...