RobbinHood: Dieser Erpressungstrojaner bringt Einfallstor einfach mit

Dass Trojaner und andere Schadsoftware immer neue Wege finden, um Nutzer und Sicherheitsschranken zu umgehen, ist ein alter Hut. Doch wie der Verschlüsselungstrojaner RobbinHood agiert, ist neu und ebenso dreist wie schlau.
Verschlüsselung, Ransomware, Erpressung, erpressungstrojaner
CC0 / Geralt

Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet

Trojaner lädt als erstes einen Treiber

RobbinHood bringt laut dem Bericht der Sicher­heits-Spezialisten von Sophos einfach selbst einen Bug mit, dessen Schwachstelle er auf dem Ziel-Rechner ausnutzen kann. Das ist dabei ebenso einfach wie genial. Der Trojaner vollzieht seinen Plan in mehreren Schritten. Wichtig ist, dass er dabei mögliche Antiviren-Programme außer Gefecht setzt.

Sophos hat laut dem Bericht zwei verschiedene Lösegeld-Angriffe mit RobbinHood untersucht.

Dabei setzt der Trojaner einen legitimen, digital signierten Hard­ware-Treiber ein, um Sicher­heits­produkte von den Zielcomputern zu löschen, kurz bevor der zerstörerische Datei­ver­schlüs­se­lungs­teil des Angriffs durchgeführt wurde. Bei dem signierten Treiber handelt es sich um einen Teil eines inzwischen veralteten Softwarepakets des taiwanesischen Motherboard-Her­stel­lers Gigabyte. Bei diesem ist eine Schwachstelle bekannt (CVE-2018-19320). Schon vor rund zwei Jahren wurde für diese Schwachstelle ein Proof-of-Concept-Code veröffentlicht und die Treiber eingestellt.

Manipulationschutz wird umgangen

Doch die zugrundeliegende Sicherheitslücke bleibt ausnutzbar, zumindest ungepatcht, wie sie Huckepack mit RobbinHood zum Einsatz kommt. In dem neu entdeckten An­griffs­sze­nario nutzen die Cyber-Kriminellen den Giga­byte-Treiber als eine Art Keil, um einen Spalt zu öffnen, durch den der Trojaner schlüpfen kann, erklärt Sophos. Dann wird ein zweiter, nicht signierter Treiber geladen, der alle Prozesse und Dateien, die zu den Endpunkt-Sicher­heits­pro­dukten gehören, unterläuft, und dabei den Windows 10 Manipulationsschutz umgeht.

Schlussendlich verschlüsselt er die Daten auf dem Ziel-PC und fordert für die Entschlüsselung entsprechend Lösegeld. RobbinHoodDie Erpressungs-Botschaft des Trojaners. Hersteller von Antiviren-Software müssen sich an diese neuartige Bedrohung anpassen. Laut Sophos gibt es bis dahin nur insoweit Schutz, dass man keine Daten aus unbekannten Quellen öffnet und generell sein System mit allen Sicherheitsupdates versorgt, damit der Trojaner erst gar nicht auf den Rechner gelangen kann.

Download RogueKiller - Malware aufspüren und entfernen Download Malwarebytes Premium - Vierfacher Schutz vor Schadsoftware Siehe auch:

Thema:
Viren & Trojaner
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Antivirus Preisvergleich
Neue Nachrichten
Themen-Übersicht
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!