info@PortalDerWirtschaft.de | 02635/9224-11
Suchmaschinenoptimierung
mit Content-Marketing - Ihre News
G DATA Software AG |

Tarnkappen-Malware: Botnetzsteuerung per Webmail

Bewerten Sie hier diesen Artikel:
1 Bewertung (Durchschnitt: 5)


Bislang unentdeckter Schädling nutzt Yahoo-Mail, um Befehle für seine Schadfunktionen zu empfangen


Ein neuer Tarnkappen-Schadcode kann bekannte Webportale wie Yahoo und Gmail missbrauchen, um von dort Steuerbefehle zu erhalten. Warum ist der Trojaner IcoScript so besonders? Der Schädling nutzt eine eigene Skriptsprache, um sich automatisch mit einem...

Bochum, 18.08.2014 - Ein neuer Tarnkappen-Schadcode kann bekannte Webportale wie Yahoo und Gmail missbrauchen, um von dort Steuerbefehle zu erhalten. Warum ist der Trojaner IcoScript so besonders? Der Schädling nutzt eine eigene Skriptsprache, um sich automatisch mit einem Mail-Account zu verbinden. Dieser Account wurde von Hackern eingerichtet, um den infizierten Rechnern Befehle zu erteilen. Der Zugriff auf Webmailer wird in Unternehmensnetzwerken selten blockiert. So kann der Trojaner unbemerkt Befehle empfangen und ausführen. Die Sicherheitsexperten von G DATA haben den Schädling Win32.Trojan.IcoScript.A genannt. Die ausführliche Analyse wurde im Virus Bulletin Magazin veröffentlicht.

Trojaner befällt Windows-PCs

Der hinterlistige Schädling namens Win32.Trojan.IcoScript.A treibt seit 2012 unentdeckt sein Unwesen. Der Trojaner, ein modular aufgebautes Fernsteuerungstool (engl. RAT; Remote Administration Tool), befällt Windows-PCs. Normalerweise injiziert sich Malware in die Prozesse von Anwendungen. Das wird von Antiviren-Software aber mittlerweile entdeckt. IcoScript hingegen missbraucht die Entwickler-Schnittstelle COM (Component Object Model), um sich in den Internet Explorer einzuklinken. Die COM-Schnittstelle ermöglicht es Entwicklern, u.a. Plugins für den Browser zu schreiben. Für Schadcode-Programmierer bietet diese Funktionalität einen Unterschlupf, um vom Anwender und dem Virenschutz unbemerkt den Browser zu kompromittieren. Danach sehen die Daten auf dem Rechner und im Netzwerk aus wie ganz normale Surfdaten. Die Malware-Autoren müssen sich auch nicht um die Netzwerkeinstellungen kümmern. Sie können so übernommen werden, wie sie im Browser eingestellt sind. 'Diese variabel anpassbare Malware, die ihre Aktionen in reguläre Datenströme einnistet, stellt IT-Sicherheitsabteilungen und Abwehrsysteme vor große Schwierigkeiten', meint Ralf Benzmüller, Leiter der G DATA SecurityLabs. 'Der Schädling zeigt wieder einmal, wie gut Schadcode-Entwickler auf Abwehrmaßnahmen reagieren.'

IcoScript missbraucht Webmailer für Kommandofunktion

Dazu bedient sich IcoScript des Internet Explorers und missbraucht unter anderem Webmailer wie Yahoo für seine Kommando- und Kontrollfunktionen. Um die E-Mails aus dem präparierten Postfach abzuholen, wurde IcoScript mit einer eigenen Skriptsprache versehen, die es ermöglicht, automatisierte Aktionen auf den Webseiten der Webportale auszuführen. IcoScript.A öffnet dazu das Mailportal von Yahoo, loggt sich ein und ruft die Mails ab. Die Mails werden auf Steuercodes untersucht und als Befehle an das Schadprogramm weiter gegeben. Über die E-Mails können auch Daten aus dem Netzwerk versendet werden. 'Diese Vorgehensweise ist nicht auf Yahoo beschränkt. Sie eignet sich für viele Webportale wie etwa Gmail, Outlook.com, web.de, aber auch LinkedIn, Facebook und andere soziale Netzwerke könnten so missbraucht werden" erläutert Ralf Benzmüller.

Virus Bulletin ist feste Größe in der AV-Industrie

Die Analyse wurde mit dem Titel 'IcoScript: Using Webmail to control malware' im britischen IT-Magazin Virus Bulletin veröffentlicht. 'IcoScript ist ein sehr spezieller Schädling. Wir freuen uns über die Veröffentlichung des Artikels in diesem renommierten Fachmagazin und sehen das als Anerkennung unserer Forschungsarbeit. Virus Bulletin ist eine feste Größe in der Antiviren-Industrie und hat seit Jahren einen herausragend guten Ruf für seine unabhängigen und professionellen Informationen über Malware', betont Ralf Benzmüller.

Den gesamten Artikel gibt es auf Englisch auf der Internetseite von Virus Bulletin in der HTML-Version: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript oder als PDF: https://www.virusbtn.com/pdf/magazine/2014/vb201408-IcoScript.pdf


Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 475 Wörter, 4086 Zeichen. Als Spam melden

Unternehmensprofil: G DATA Software AG


Kommentare:

Es wurde noch kein Kommentar zu diesem Thema abgegeben.



Ihr Kommentar zum Thema





Weitere Pressemitteilungen von G DATA Software AG lesen:

G DATA Software AG | 21.06.2018

https://www.gdata.de/news/2018/06/30848-g-data-partnerumfrage-wie-der-fachhandel-von-der-eu-dsgvo-profitiert

Bochum, 21.06.2018 (PresseBox) - Seit wenigen Wochen gilt die EU-Datenschutzverordnung und immer noch kämpfen einige Unternehmen mit deren Umsetzung. Eine Partnerumfrage des deutschen IT-Sicherheitsherstellers G DATA hat ergeben: Viele Firmen haben ...
G DATA Software AG | 14.06.2018

Kritische Sicherheitslücke: Erster Android-Wurm entdeckt

Bochum, 14.06.2018 (PresseBox) - Tausende von Smartphones weltweit sind von einem Android-Wurm betroffen. Schuld daran ist eine Sicherheitslücke durch eine vergessene Debug-Schnittstelle. Die Schwachstelle ist noch immer nicht gefixt. G DATA klärt ...
G DATA Software AG | 07.06.2018

AV-TEST zeichnet G DATA mit 100. Test-Zertifikat für Sicherheitssoftware aus

Bochum, 07.06.2018 (PresseBox) - Besondere Auszeichnung für G DATA: Das unabhängige Testinstitut AV-TEST hat dem deutschen IT-Sicherheitshersteller das 100. Test-Zertifikat verliehen. Die Geschäftsführer Maik Morgenstern und Guido Habicht sowie ...