Hacker nutzen signierte Windows-Treiber für Angriffe auf Banken
Sicherheitsexperten haben jetzt aufgedeckt, wie eine Hacker-Gruppe mithilfe von signierten Windows-Treibern mehrere Banken angegriffen und um mehrere Millionen Euro erleichtert haben könnte. Dabei wurden verschiedene Sicherheitsmechanismen außer Kraft gesetzt.
In einem neu veröffentlichten Bericht enthüllen Sicherheitsforscher von Symantec jetzt weitere Details über die Aktivitäten der Hacker-Gruppe Bluebottle, zu denen auch "Opera1er" gehören soll.
Bei Angriffen auf Banken in französischsprachigen Ländern durch Opera1er wurde nach Symantec-Erkenntnissen ein signierter Windows-Treiber verwendet, der wahrscheinlich von einem Bedrohungsakteur stammt, der mehr als 10 Millionen Euro von verschiedenen Banken gestohlen hat. Infografik Cyberkriminalität: E-Mails bleiben größtes Sicherheitsrisiko
Laut Symantec besteht die Malware aus zwei Komponenten: "Einer kontrollierenden DLL, die eine Liste von Prozessen aus einer dritten Datei liest, und einem signierten 'Helfer'-Treiber, der vom ersten Treiber kontrolliert wird und zum Beenden der Prozesse in der Liste verwendet wird." Bluebottle verwendete zudem weitere bösartige Tools Mimikatz zum Extrahieren von Passwörtern, Keylogger zum Aufzeichnen von Tastatureingaben und den Netwire-Trojaner für den Fernzugriff.
Es hat zudem den Anschein, dass der signierte bösartige Treiber von verschiedenen Cyberkriminellen verwendet wurde.
Alle haben sie eines gleich - die verwendeten Signaturen stammen aus dem Windows Hardware Developer Programm und wurden damit also von Microsoft regulär verifiziert. Diese Signaturen als bösartig zu erkennen, ist also nicht leicht. Von diesen Signaturen weiß man spätestens seit letztem Monat, dass sie gestohlen wurden. Es gab aber schon im Sommer 2022 Hinweise auf die entwendeten Zertifikate, die sich seither großer Beliebtheit bei Cyberkriminellen erfreuten.
Download RogueKiller - Malware entfernen Download Malwarebytes Premium Siehe auch:
Bei Angriffen auf Banken in französischsprachigen Ländern durch Opera1er wurde nach Symantec-Erkenntnissen ein signierter Windows-Treiber verwendet, der wahrscheinlich von einem Bedrohungsakteur stammt, der mehr als 10 Millionen Euro von verschiedenen Banken gestohlen hat. Infografik Cyberkriminalität: E-Mails bleiben größtes Sicherheitsrisiko
Sicherheitssoftware abgeschaltet
Der Symantec-Bericht erklärt dabei einige technische Details, die aufhorchen lassen. Dazu gehört die Verwendung des berüchtigten GuLoader-Tools zum Laden von Malware und eines signierten Treibers, mit dessen Hilfe der Angreifer Prozesse für Sicherheitssoftware abschalten kann.Laut Symantec besteht die Malware aus zwei Komponenten: "Einer kontrollierenden DLL, die eine Liste von Prozessen aus einer dritten Datei liest, und einem signierten 'Helfer'-Treiber, der vom ersten Treiber kontrolliert wird und zum Beenden der Prozesse in der Liste verwendet wird." Bluebottle verwendete zudem weitere bösartige Tools Mimikatz zum Extrahieren von Passwörtern, Keylogger zum Aufzeichnen von Tastatureingaben und den Netwire-Trojaner für den Fernzugriff.
Es hat zudem den Anschein, dass der signierte bösartige Treiber von verschiedenen Cyberkriminellen verwendet wurde.
Alle haben sie eines gleich - die verwendeten Signaturen stammen aus dem Windows Hardware Developer Programm und wurden damit also von Microsoft regulär verifiziert. Diese Signaturen als bösartig zu erkennen, ist also nicht leicht. Von diesen Signaturen weiß man spätestens seit letztem Monat, dass sie gestohlen wurden. Es gab aber schon im Sommer 2022 Hinweise auf die entwendeten Zertifikate, die sich seither großer Beliebtheit bei Cyberkriminellen erfreuten.
Download RogueKiller - Malware entfernen Download Malwarebytes Premium Siehe auch:
- Exchange-Querdenker? - Zehntausende Systeme bleiben angreifbar
- Exchange-Exploit: Microsoft untersucht, wie Hacker an den Code kamen
- Microsofts MSRC-Team stellt Notfall-Tool für Exchange bereit
- Kritik an Microsoft: Hat der Konzern Exchange-Lücke lang verheimlicht?
- Angriff auf Microsoft Exchange entwickelt sich zur globalen Krise
Thema:
Beliebte Opera-Downloads
Neue Opera-Videos
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Wallpaper Engine: "Anime Girl"-Hintergründe gefährden Steam-Gamer
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
- Minus 15 Prozent: Speicherkrise trifft die Smartphone-Hersteller hart
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen