Witchetty: Hackergruppe versteckt Backdoor-Malware in Windows-Logo

Sicherheitsforscher haben einen neuen Trick entdeckt, mit dem eine Hackergruppe namens "Witchetty" PC-Nutzern eine Spähsoftware unterjubelt. Genutzt wird dabei ein Bildverschlüsselungsverfahren und ein Bild eines Windows-Logos.
Betriebssystem, Logo, Windows Xp
Microsoft
Das berichtet das Online-Magazin Bleeping Computer. Gemeldet wurde die neue Bedrohung von den Sicherheitsspezialisten von Symantec.

In der von Symantec entdeckten Kampagne nutzen die Hacker Schwachstellen aus dem letzten Jahr aus, um in das Zielnetzwerk einzudringen, und machen sich dabei die mangelhafte Verwaltung der öffentlich zugänglichen Server zunutze. Infografik Cyberangriffe aus dem Osten: Hacker visieren deutsche Unternehmen anCyberangriffe aus dem Osten: Hacker visieren deutsche Unternehmen an

Gut getarnt

Das Toolkit, mit dem verschiedene Schwachstellen angegriffen werden, nutzt Steganografie, um ihre bösartige Nutzlast vor Antiviren-Software zu verstecken.

Unter Steganografie versteht man das Verstecken von Daten in anderen, nicht geheimen, öffentlichen Informationen oder Computerdateien, wie z. B. Bildern, um einer Entdeckung zu entgehen. So kann ein Hacker eine funktionierende Bilddatei erstellen, die auf dem Computer korrekt angezeigt wird, aber auch bösartigen Code enthält.

Bösartige Malware im Windows-Logo versteckt

Genau das ist nun bei den Angriffen der Witchetty-Gruppe der Fall. Sie haben eine XOR-verschlüsselte Backdoor-Malware in einem alten Windows-Logo-Bitmap-Bild versteckt. Die Datei wird auf einem vertrauenswürdigen Cloud-Dienst gehostet, sodass beim Abrufen der Datei kein Sicherheitsalarm ausgelöst wird.

"Indem die Angreifer die Nutzlast auf diese Weise tarnten, konnten sie auch auf einem kostenlosen, vertrauenswürdigen Dienst hosten", erklärt Symantec in seinem Bericht: "Downloads von vertrauenswürdigen Hosts wie GitHub schlagen weitaus seltener Alarm als Downloads von einem vom Angreifer kontrollierten Command-and-Control-Server (C&C)." Der Angriff beginnt damit, dass sich die Angreifer zunächst Zugang zu einem Netzwerk verschaffen, indem sie die Angriffsketten Microsoft Exchange ProxyShell und ProxyLogon ausnutzen.

Sobald der Zugriff besteht, kann weiter Malware eingeschleust werden. Es wird vermutet, dass Witchetty enge Verbindungen zu dem staatlich unterstützten chinesischen Bedrohungsakteur APT10 hat. Die Gruppe wird auch mit Angriffen auf US-Energieversorger in Verbindung gebracht. Laut Symantec sind derzeit vor allem staatliche Einrichtungen im Visier der Hacker.

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 09:55 Uhr Blackview Tab 50 WiFi Tablet 8-Zoll, 8 GB RAM 128 GB ROM(1TB TF), WiFi 6, Android 13 Tablet PC, 5580mAh Akku, 1280 * 800 HD+ IPS, GMS Zertifiziert/BT 5.0/3.5mm Jack/OTG/Typ-C (2023)Blackview Tab 50 WiFi Tablet 8-Zoll, 8 GB RAM 128 GB ROM(1TB TF), WiFi 6, Android 13 Tablet PC, 5580mAh Akku, 1280 * 800 HD+ IPS, GMS Zertifiziert/BT 5.0/3.5mm Jack/OTG/Typ-C (2023)
Original Amazon-Preis
99,98
Im Preisvergleich ab
99,98
Blitzangebot-Preis
79,98
Ersparnis zu Amazon 20% oder 20
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!