Vorsicht: Microsoft Defender zur Infizierung mit Malware ausgenutzt
Sicherheitsforscher warnen jetzt davor, dass Hacker das Windows Defender-Befehlszeilentool MpCmdRun.exe missbrauchen, um unbemerkt Malware zu verbreiten. Das Tool wird genutzt, um PC mit Cobalt Strike zu infizieren und die Ransomware LockBit zu installieren.
Dieser Angriff geht zunächst recht klassisch vor. Im ersten Schritt werden Rechner oder ganze Netzwerke über bekannte Software-Schwachstellen mithilfe der Malware Cobalt Strike übernommen. Sobald voller Zugriff geschaffen wurde, kommt die Erpressungssoftware LockBit zum Einsatz, verschlüsselt die Systeme und sendet eine Lösegeldaufforderung.
Diese Neuigkeiten sollten laut dem Online-Magazin Neowin Microsoft in höchste Alarmbereitschaft versetzen, falls dies nicht bereits der Fall ist. Bei den Bedrohungsakteuren handelt es sich um Betreiber von LockBit, einer Ransomware as a Service (RaaS).
Die Bedrohungsakteure nutzen im Wesentlichen die Log4j-Schwachstelle aus, um MpCmdRun, die bösartige DLL-Datei "mpclient" und die verschlüsselte Cobalt Strike-Nutzlastdatei von ihrem Command-and-Control-Server herunterzuladen und das System eines potenziellen Opfers zu infizieren. Dieser Missbrauch von legitimen Tools ist dabei keine neue Idee. Erst im April 2022 hatte man beobachtet, dass LockBit das VMware-Befehlszeilendienstprogramm VMwareXferlogs.exe nutzte, um unbemerkt zu den regulären Aktionen die Malware Cobalt Strike zu laden.
Download Defender und weitere Malware-App Siehe auch:
Bekannte Sicherheitslücke
Bei einer Untersuchung haben die Forscher von SentinelOne jetzt festgestellt, dass Bedrohungsakteure den ersten Schritt für die Installation des Schadcodes über das Befehlszeilentool "mpcmdrun.exe" in Microsoft Defender vollziehen. Infografik: Viren sind immer noch die größte Cyber-Bedrohung
Diese Neuigkeiten sollten laut dem Online-Magazin Neowin Microsoft in höchste Alarmbereitschaft versetzen, falls dies nicht bereits der Fall ist. Bei den Bedrohungsakteuren handelt es sich um Betreiber von LockBit, einer Ransomware as a Service (RaaS).
Die Bedrohungsakteure nutzen im Wesentlichen die Log4j-Schwachstelle aus, um MpCmdRun, die bösartige DLL-Datei "mpclient" und die verschlüsselte Cobalt Strike-Nutzlastdatei von ihrem Command-and-Control-Server herunterzuladen und das System eines potenziellen Opfers zu infizieren. Dieser Missbrauch von legitimen Tools ist dabei keine neue Idee. Erst im April 2022 hatte man beobachtet, dass LockBit das VMware-Befehlszeilendienstprogramm VMwareXferlogs.exe nutzte, um unbemerkt zu den regulären Aktionen die Malware Cobalt Strike zu laden.
Im Ziel stehen Unternehmen
Daher ist es besonders für Unternehmensnetzwerke wichtig, dass alle Tools, für die durch eingesetzte Sicherheitssoftware Ausnahmen für den Netzwerkverkehr gemacht werden, sorgfältig geprüft werden. Produkte wie VMware und Windows Defender sind im Unternehmen weitverbreitet und bieten Bedrohungsakteuren einen hohen Nutzen, wenn sie außerhalb der installierten Sicherheitskontrollen operieren dürfen.Download Defender und weitere Malware-App Siehe auch:
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Windows 11 bekommt einen Button zum Entfernen aller KI-Modelle
- Meta macht (ein bisschen) Rückzieher bei Mitarbeiter-Totalüberwachung
- Update für Google Home: Gemini-KI startet nun auch in Deutschland
- Vernichtende Kritik: MMO-Hoffnung Camelot Unchained ein totaler Flop
- Komplett zerstörte Startrampe: Blue Origin hat aggressiven Aufbauplan
- Microsoft Surface Pro 13-Zoll: Das ist das Tablet mit Snapdragon X2 Elite
- Google will Android-Entwickler für Zugang zum App-Code bezahlen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen