Erpressungstrojaner PowerWare überlässt PowerShell die dreckige Arbeit

Über einen perfiden Hackerangriff, der sich Windows PowerShell zu Nutze macht, berichten Sicherheitsforscher von Carbon Black. Das Unternehmen hat nun den Angriff auf eine Firma aus dem Gesundheitsbereich durch den "PowerWare" getauften Verschlüsselungstrojaner publik gemacht. Wie nun Kaspersky Lab bei Threatpost berichtet, ist die neue Ransomware durch ihren quasi dateilosen Angriff eine völlig neue Herausforderung an die Absicherung von Computern. Denn der Verschlüsselungstrojaner benötigt keine an sich manipulierte Datei, sondern nur ein Text-Dokument das vollkommen "sauber" ist und lediglich die Makros aktiviert. PowerWare benötigt also für den eigentlichen Angriff, für den Zugriff auf das fremde System, keine weitere Software und kann zum Beispiel einfach über einen Email-Anhang eingeschleust werden.
PowerWare ErpressungstrojanerDer neue Erpressungstrojaner PowerWare lässt die dreckige Arbeit von der Windows PowerShell erledigen und benötigt dazu keine manipulierte Dateien, ... PowerWare Erpressungstrojaner... dann folgt die klassische Erpressung.
Der Angriff über die Makros folgt einem ähnlichen Schema, wie es der Erpressungstrojaner Locky vormacht. Neu bei PowerWare ist aber, dass die PowerShell dazu ausgenutzt wird die ganze "dreckige Arbeit zu machen", so Kaspersky. Locky hingegen ist einfacher zu entdecken, da die Malware sich nach dem Eindringen durch das Schlupfloch der Makro-Aktivierung weitere ausführbare Software nachlädt, um dann sein Unheil zu verbreiten.

Klassischer Verschlüsselungstrojaner

PowerWare geht anschließend wie jeder klassische Verschlüsselungstrojaner vor. Die Daten auf dem angegriffenen System werden verschlüsselt, und es wird eine Zahlungsaufforderung für die Wiederfreigabe der Dokumente angezeigt.

Siehe auch: Erpressungstrojaner: Ransomware "Petya" riegelt Rechner ganz ab

Die Sicherheitsforscher von Carbon Black empfehlen, Eingabeaufforderungen aus Word zu blockieren. Nur so könnte man jetzt sicherstellen, dass über eine fremde Datei kein Angriff via PowerShell ausgeführt werden könne.

Wie gefährlich der neu entdeckte Trojaner in freier Wildbahn sein könnte, sind sich die Sicherheitsforscher noch uneins. Grund dafür ist die Art der Systemkaperung über die PowerShell, wodurch der Trojaner für Virenscanner und Co nahezu unsichtbar arbeitet. Carbon Black selbst empfiehlt die eigene Sicherheitslösung, die bereits auf die neue Masche eingestellt ist.


Download Microsoft Security Essentials - Kostenlose Antivirus-Software Download RogueKiller - Malware aufspüren und entfernen Download Unchecky - Installation von Malware verhindern Trojaner, Schadsoftware, Ransomware, Powershell, PowerWare Trojaner, Schadsoftware, Ransomware, Powershell, PowerWare Carbon Black
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 08:05 Uhr M.2 2280 Sata SSDM.2 2280 Sata SSD
Original Amazon-Preis
58,00
Im Preisvergleich ab
89,00
Blitzangebot-Preis
49,30
Ersparnis zu Amazon 15% oder 8,70

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!