Erpressungstrojaner PowerWare überlässt PowerShell die dreckige Arbeit

Trojaner, Schadsoftware, Ransomware, Powershell, PowerWare Bildquelle: Carbon Black
Über einen perfiden Hackerangriff, der sich Windows PowerShell zu Nutze macht, berichten Sicherheitsforscher von Carbon Black. Das Unternehmen hat nun den Angriff auf eine Firma aus dem Gesundheitsbereich durch den "PowerWare" getauften Verschlüsselungstrojaner publik gemacht.
Wie nun Kaspersky Lab bei Threatpost berichtet, ist die neue Ransomware durch ihren quasi dateilosen Angriff eine völlig neue Herausforderung an die Absicherung von Computern. Denn der Verschlüsselungstrojaner benötigt keine an sich manipulierte Datei, sondern nur ein Text-Dokument das vollkommen "sauber" ist und lediglich die Makros aktiviert. PowerWare benötigt also für den eigentlichen Angriff, für den Zugriff auf das fremde System, keine weitere Software und kann zum Beispiel einfach über einen Email-Anhang eingeschleust werden.
PowerWare ErpressungstrojanerDer neue Erpressungstrojaner PowerWare lässt die dreckige Arbeit von der Windows PowerShell erledigen und benötigt dazu keine manipulierte Dateien, ... PowerWare Erpressungstrojaner... dann folgt die klassische Erpressung.
Der Angriff über die Makros folgt einem ähnlichen Schema, wie es der Erpressungstrojaner Locky vormacht. Neu bei PowerWare ist aber, dass die PowerShell dazu ausgenutzt wird die ganze "dreckige Arbeit zu machen", so Kaspersky. Locky hingegen ist einfacher zu entdecken, da die Malware sich nach dem Eindringen durch das Schlupfloch der Makro-Aktivierung weitere ausführbare Software nachlädt, um dann sein Unheil zu verbreiten.

Klassischer Verschlüsselungstrojaner

PowerWare geht anschließend wie jeder klassische Verschlüsselungstrojaner vor. Die Daten auf dem angegriffenen System werden verschlüsselt, und es wird eine Zahlungsaufforderung für die Wiederfreigabe der Dokumente angezeigt.

Siehe auch: Erpressungstrojaner: Ransomware "Petya" riegelt Rechner ganz ab

Die Sicherheitsforscher von Carbon Black empfehlen, Eingabeaufforderungen aus Word zu blockieren. Nur so könnte man jetzt sicherstellen, dass über eine fremde Datei kein Angriff via PowerShell ausgeführt werden könne.

Wie gefährlich der neu entdeckte Trojaner in freier Wildbahn sein könnte, sind sich die Sicherheitsforscher noch uneins. Grund dafür ist die Art der Systemkaperung über die PowerShell, wodurch der Trojaner für Virenscanner und Co nahezu unsichtbar arbeitet. Carbon Black selbst empfiehlt die eigene Sicherheitslösung, die bereits auf die neue Masche eingestellt ist.


Download
Microsoft Security Essentials - Kostenlose Antivirus-Software
Download
RogueKiller - Malware aufspüren und entfernen
Download
Unchecky - Installation von Malware verhindern
Trojaner, Schadsoftware, Ransomware, Powershell, PowerWare Trojaner, Schadsoftware, Ransomware, Powershell, PowerWare Carbon Black
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:50 Uhr RICOO Fernseh-Halterung S3222 Flachbild-Fernseher O-LED Wohnwand LCD TV Wandhalterung Schwenkarm Flachbildschirm Fernseh-Wand-Halter VESA 200x200
RICOO Fernseh-Halterung S3222 Flachbild-Fernseher O-LED Wohnwand LCD TV Wandhalterung Schwenkarm Flachbildschirm Fernseh-Wand-Halter VESA 200x200
Original Amazon-Preis
25,99
Im Preisvergleich ab
25,99
Blitzangebot-Preis
19,98
Ersparnis zu Amazon 0% oder 6,01

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden