- Anzeigen -


Sie sind hier: Home » Virenwarnung » Aktuelle Meldungen

Teil einer globalen Spam-Kampagne





Die Malware-Familie Ursnif ist zurück: Diesmal visiert sie die privaten Daten und Finanzgeschäfte
Ursnif ist als Spyware-Familie bekannt und auf das Sammeln von Informationen spezialisiert

Bitdefender warnt: Die Malware-Familie Ursnif ist zurück. Diesmal visiert sie die privaten Daten und Finanzgeschäfte von deutsch-, englisch- und russischsprachigen Nutzern an. Nach Angaben des Bitdefender Antispam-Labors wurden rund 10.000 E-Mails als Teil einer globalen Spam-Kampagne, die meist deutsch-, englisch- und russischsprachige Nutzer anvisiert, gesendet.

Ursnif ist als Spyware-Familie bekannt und auf das Sammeln von Informationen spezialisiert. Zudem kann sie ein System komplett beeinträchtigen. Ursnif verbreitet sich in der Regel durch Spam-Mails. Es versteckt sich in einem Archiv und wartet darauf, manuell heruntergeladen und auf dem System ausgeführt zu werden. Die von Bitdefender analysierte Probe kann eine Vielzahl von Operationen ausführen, je nachdem, welche Anweisungen sie bekommt.

Es kann Anmeldeinformationen und andere auf Microsoft Outlook bezogene Daten auslesen:
reg Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\
reg Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook\

Systemdaten:
systeminfo.exe
taskslist.exe
driverquery.exe
reg.exe Anfrage "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" /s

Zertifikate und private Schlüssel aus:
My AddressBook
AuthRoot
CertificateAuthority
Disallowed
Root
TrustedPeople
TrustedPublisher

Ursnif kann auch das System neu starten, Windows Directory-Dateien verändern, Cookies sammeln oder löschen und sogar den Browserverlauf des Benutzers ausspionieren. Screenshots des Gerätebildschirms kann es ebenfalls erstellen. Die gesammelten Daten werden in temporären Ordner gespeichert und über HTTP zu Control and Command (C&Cs)-Servern übermittelt. Die C&Cs werden mithilfe von Text aus der US-Unabhängigkeitserklärung erzeugt.

Der verschlüsselte Code besitzt einen Abschnitt mit Konfigurationsdaten, die sich von Probe zu Probe unterscheiden können. In diesem Fall enthalten die Konfigurationsdaten URLs und Details über verschiedene Bankdienstleistungen und -prozesse.

Bitdefender erkennt und blockiert diese Bedrohungen als Gen:Variant.Kazy.616358, Hash: d2eed7c7a412246816ce3f9c67c40b39.

Bitdefender rät Benutzern, ihre Antiviren-Lösung regelmäßig zu aktualisieren, um Keylogger, Spyware und andere persistente Bedrohungen abzuwehren.

Dieser Artikel basiert auf technischen Informationen, die von Adrian Miron, Senior Antispam Researcher bei Bitdefender, sowie den Malware-Forschern Victor Luncasu, Alexandru Rusu und Ivona Chili zur Verfügung gestellt wurden. (Bitdefender: ra)

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Aktuelle Meldungen

  • Malware verlangt Lösegeld in Kryptowährung

    Die Forscher von McAfee gaben die Entdeckung einer neuen Ransomware-Familie, "Anatova", bekannt. Die Ransomware wurde in einem privaten Peer-to-Peer (p2p)-Netzwerk entdeckt und zielt auf Verbraucher weltweit ab, indem sie das Symbol eines Spiels oder einer Application verwendet, um den Benutzer zum Herunterladen zu verleiten.

  • Malware-Verbreitung über Spam-Kampagne

    Nach einer relativen ruhigen Phase startet Emotet eine neue Spam-E-Mail-Kampagne. Darin setzen die Cyberkriminellen auf schädliche Word- und PDF-Anhänge, die als Rechnungen, Zahlungsbenachrichtigungen, Bankkontenwarnungen usw. getarnt sind und von scheinbar legitimen Organisationen stammen. Anstelle von Anhängen enthalten die Spam-E-Mails alternativ schädliche Links. Die in der Kampagne verwendeten E-Mail-Betreffe legen eine Ausrichtung auf englisch- und deutschsprachige User nahe. Eset-Sicherheitsprodukte erkennen und blockieren alle Emotet-Komponenten unter den im IoCs-Abschnitt aufgeführten Erkennungsnamen.

  • Vertraulichen Banking-Informationen

    Eset warnt vor der neu entdeckten Banking Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

  • Nahezu jeder Browser betroffen

    Eset warnt vor der neu entdeckten Banking-Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking-Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript-Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

  • Neue Bitcoin Cash-Ransomware "Thanatos"

    Seit kurzem warnen Sicherheitsexperten vor einer neuen kritischen Ransomware namens Thanatos. Der nach dem griechischen Totengott benannte Erpresser-Trojaner zeichnet sich dabei durch zwei Besonderheiten aus: Zum einen soll die Lösegeldforderung bei Thanatos nicht mehr mit herkömmlichen Bitcoins, sondern der neuen Kryptowährung Bitcoin Cash beglichen werden.