zurück zur Übersicht

Low Five: Top Hacks im November


Give me „Low Five“!

In dieser neuen Artikelreihe möchten wir aktuelle Top Hacks der vergangenen Wochen vorstellen. Jeden Monat informieren wir Sie über aktuelle Angriffe, Hacks und Gefahren diekt aus dem Advanced Cyber Defence Center!

Malware Proton gibt sich als Symantec Malware Detector aus

Sicherheitsforscher warnen vor der MAC Trojaner „Proton“. Dieser setzte auf einen neuen Infektionsweg: Er tarnt sich als die fiktive Sicherheits-Software “Symantec Malware Detector”, die über ein gefälschtes Blog der Antiviren-Firma Symantec zum Download angeboten wurde.  Proton zielt vor allem auf Passwörter ab und installiert eine Hintertür, die es Angreifern erlaubt, nahezu die vollständige Kontrolle über ein System zu übernehmen. Unter dem Vorwand einen „Security Check“ durchzuführen, fordert der Trojaner eine Passworteingabe des Benutzers über einen gefälschten Systemdialog an. Startet man die „Überprüfung“, gebinnt die Malware damit, Informationen abzufangen einschließlich dem Admin-Passwort des Nutzers im Klartext. Mit eingefangen werden außerdem Keychain-Dateien, Browserdaten, 1Password-Tresor und GPG-Passwörter.

Ordinypt

Der Erpressungstrojaner Ordintypt (oder auch HSDFSDCrypt) geht durch deutsche Firmen und die Angreifer geben sich nicht mal Mühe die Daten zu verschlüsseln. Sie fordern ein Lösegeld, jedoch sind die Daten schon gelöscht. Hier besteht nicht die kleinste Chance die Daten zu retten, daher ist eine Zahlung des Lösegelds absolut sinnlos. Die gut gemacht Phishing Mail kommt mit exe—Datei, die als PDF getarnt ist  und in einem Zip Ordner, an die Personalabteilung. Führt das Opfer einen Doppelklick die angebliche Bewerbung und ein Lebenslauf aus, wird der Trojaner aktiv. Da die Malware rechtzeitig erkannt wurde und auch bei dem Dienst ID-Ransomware hochgeladen wurde, sind sie als Anwender mit aktuellem Virenschutz gut gewappnet.

qKG Ransomware verbreitet sich über manipuliertes Word-Template

Er ist zwar noch in der Entwicklung, jedoch berichten Sicherheitsforscher von Trend Micro bereits von dem Verschlüsselungstrojaner qkG (RANSOM_CRYPTOQKG.A). Um sich zu verbreiten, macht er sich über das Template für ein neues Dokument von Microsoft Word her und manipuliert es. Künftig haben alle neu erzeugten Word-Dokumente die Ransomware inklusive. Die in VBA geschriebene Ransomware verschlüsselt nur den Inhalt von Microsoft Word Dokumenten und jede komprimierte Datei enthält eine kurze Erpressungsnotiz mit Bitcoin Adresse.

17 Jahre alte MS Word Schwachstelle entdeckt

Und noch einmal Microsoft Word! Dieses Mal erwischt es den Formeleditor. Die Schwachstelle soll bereits seit 2000 (17 Jahre!!) bekannt sein und ermöglicht einen vollen Zugriff auf das System. Eine ausführliche Beschreibung dieser Schwachstelle wurde bereits auf unseren Blog veröffentlicht und findet ihr hier.

Offene Cisco Switches

Über den Fernkonfigurationsdient „Smart Install“ von Cisco lässt sich die Konfiguration der Geräte auslesen, verändern oder auch einfach eine neue Firmware installieren. Und das alles ohne Passwort und aus dem Internet erreichbar. Die Switche sind dann direkt aus dem Internet konfigurierbar und somit eine ideale Ausgangsbasis für weitere Angriffe im Firmennetz.  Das Problem ist eigentlich seit fast einem Jahr bekannt und es existieren Tools, die die Schwachstelle  ausnutzen, um Kontrolle über solche Switches zu erlangen. Es ist bereits eine Sicherheitswarnung des CERT-Bundes des BSI raus.

 


 

Quellen:

www.2-spyware.com

www.thehackernews.com

www.heise.de

http://www.zdnet.de

Bild: ©iStockphoto.com/RyanJLane/517360575

Schreibe einen Kommentar