USB-Malware mit Tarnkappe

Die von ESET entdeckte Malware "USB Thief" stiehlt Daten von vermeintlich sicheren air-gapped Systemen und bleibt dabei unerkannt. [...]

Obacht: Tarnkappen-Trojaner auf USB-Stick überbrückt Air Gap (c) CC0 Public Domain - pixabay.com
Obacht: Tarnkappen-Trojaner auf USB-Stick überbrückt Air Gap

Der europäische Security-Software-Hersteller ESET hat einen neuen Trojaner entdeckt. Die Malware Win32/PSW.Stealer.NAI, vereinfacht „USB Thief“ genannt, nutzt ausschließlich USB-Sticks zur Verbreitung. Mit dieser tückischen Vorgehensweise werden keine Spuren auf dem infizierten Computer hinterlassen. Die Entwickler haben zudem einen ausgetüftelten Schutzmechanismus entwickelt, der den Trojaner vor Vervielfältigung und Reproduzierung schützt. So ist er schwieriger zu analysieren und kann kaum ausfindig gemacht werden.

ER HINTERLÄSST KEINE SPUREN

„Neben der Verbreitungsmethode direkt von einem USB-Stick aus, sorgt auch die Struktur für Aufsehen. Eine AES-128-Verschlüsselung und einen Schlüssel, der aus der USB-ID generiert wird, sieht man nicht alle Tage bei einem USB-Trojaner“, sagt Raphael Labaca Castro, Security Researcher bei ESET.

„Offenbar wurde diese Malware für gezielte Angriffe auf Systeme entwickelt, die nicht mit dem Internet verbunden sind“, so Tomas Gardo, Malware Analyst bei ESET. Bei ESET. USB Thief wird nur auf USB-Sticks ausgeführt und hinterlässt keinerlei Spuren. Sobald der USB-Stick aus dem Computersystem entfernt wird, gibt es keine Beweise mehr für einen Datendiebstahl. Geschädigte Opfer merken so nicht einmal, dass ihre Daten gestohlen wurden. USB Thief verbreitet sich nicht über das infizierte System – was sehr ungewöhnlich für einen Trojaner ist. Obendrein nutzt die Malware eine mehrstufige Verschlüsselung, die an den USB-Stick gebunden ist. Dadurch gestaltet sich die Analyse des Schädlings als äußerst kompliziert.

UNGEWÖHNLICHES VERHALTEN

Der Trojaner kann als Plug-In oder als Dynamic Link Library (Programmbibliothek) auf dem Datenspeicher gesichert werden. Mit diesem Verfahren läuft die Malware als Hintergrundprozess auf dem Speichersystem. „Diese Vorgehensweise ist sehr ungewöhnlich und gleichzeitig auch sehr gefährlich. Nutzer sollten sich die möglichen Gefahren, die von externen Datenspeichern ausgehen können, bewusst machen. Vor allem wenn sie aus unbekannten Quellen stammen, ist Vorsicht geboten“, fügt Tomss Gardo. hinzu.

Wie Untersuchungen von ESET zeigen, ist die Malware aktuell noch nicht weit verbreitet. Dennoch hat sie großes Potential für zielgerichtete Attacken, insbesondere auf Computersysteme, die aus Sicherheitsgründen nicht mit dem Internet verbunden sind – sogenannten „air-gapped Systemen“.

Die Vorgehensweise erinnert unter anderem an die http://www.computerwelt.at/news/technologie-strategie/security/detail/artikel/107082-win32usbstealer-ueberbrueckt-air-gap/ - external-link>von ESET 2014 entdeckte Malware „Win32/USBStealer“, die ebenfalls das Air Gap überbrückt. Sie wurde von der Sednit-Cyber-Spionagegruppe genutzt, um über Wechseldatenträger von der Außenwelt isolierte Systeme anzugreifen. Diese Schadsoftware war jedoch noch nicht ganz so ausgereift wie der aktuelle Schädlingsfund. (rnf)

Werbung

Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .