Malware, die sich in einem scheinbar harmlosen Programm versteckt, ist die eine Sache. Jetzt wurde aber ein Schädling bekannt, der bisher als Alltags-Malware angesehen wurde, in Wirklichkeit aber ziemlich kom­ple­xe Exploits mit sich bringt.

Verräterische Aktivitäten

Ursprung unklar

Wie Sicherheitsforscher von Kaspersky berichteten , geht es in der Sache um die sogenannte "StripedFly"-Malware. Diese ist im Grunde schon länger bekannt und wurde bisher als triviales Kryptowährungs-Mining-Programm eingestuft. Entsprechend wenig Aufmerksamkeit wurde daraufhin auf den Schädling gelegt - denn letztlich war das vermutete Schadenspotenzial gering. So konnte StripedFly in den letzten Jahren mehr als eine Million Rechner infizieren.Allerdings schlugen die automatischen Erkennungssysteme Kasperskys im letzten Jahr Alarm, weil es zu Auffälligkeiten in der WININIT.exe kam, die den Start des Windows-Betriebssystems unterstützt. Als sich die Sicherheitsforscher auf die Suche nach den Ursachen machten, führte die Spur zu StripedFly.Bei näherer Betrachtung stellten die Kaspersky-Forscher fest, dass der Miner nur eine Komponente einer weitaus komplexeren Malware ist, die sich Techniken zunutze macht, die vermutlich vom US-Geheimdienst NSA stammen. StripedFly enthält eine Version von EternalBlue, dem berüchtigten, von der NSA entwickelten Exploit, der vor einiger Zeit an die Öffentlichkeit gekommen ist.EternalBlue bildete unter anderem die Grundlage der WannaCry-Ransomware-Attacke, die vor einigen Jahren hunderttausende Windows-PCs als Geiseln nahm. StripedFly nutzt seinen eigenen EternalBlue-Angriff, um ungepatchte Windows-Systeme zu infiltrieren und sich unbemerkt im Netzwerk des Opfers zu verbreiten, auch auf Linux-Rechnern.Die Malware kann dann sensible Daten von den infizierten Computern abfangen, wie z. B. Anmeldeinformationen. "Darüber hinaus kann die Malware unbemerkt Screenshots auf dem Gerät des Opfers erstellen, die Kontrolle über den Rechner übernehmen und sogar Mikrofoneingaben aufzeichnen", so die Sicherheitsforscher weiter.Es ist unklar, wer StripedFly entwickelt hat. Die Malware greift zwar mit einer Technologie der NSA an, der EternalBlue-Exploit wurde aber im April 2017 durch eine mysteriöse Gruppe, die als "Shadow Brokers" bekannt ist, an die Öffentlichkeit weitergegeben. Ein Jahr zuvor wurden mutmaßliche chinesische Hacker dabei beobachtet, wie sie den EternalBlue-Exploit ebenfalls nutzten. Die zugrundeliegenden Informationen kursierten also wohl schon rechtzeitig auf dem Schwarzmarkt, um auch anderen Kriminellen die Nutzung zu ermöglichen.