zurück zur Übersicht

Malware-as-a-Service

This is a picture of a businessman offering malwareAdwind, eine Java-basierte Schadsoftware vom Typ RAT (Remote Access Trojan), verschwand letztes Jahr fast von der Bildfläche. Nun ist sie wieder zurück. Die Malware existiert seit 2012 und ist unter verschiedenen Namen bekannt: Frutas, Adwind, Unrecom, AlienSpy und JSocket.

Folgende Funktionen bringen alle Varianten mit: Fernsteuerung des befallenen Systems, Datenerfassung und -exfiltration. Kompromittiert werden Rechner mit Windows, Linux und Mac OS, aber auch mobile Geräte sind betroffen. Leider sorgt Java auch bei Malware für eine gute Portierbarkeit. Als Angriffsvektor kann beispielsweise eine E-Mail mit einem Word-Dokument eingesetzt werden, in das ein Macro mit einer JAR-Datei eingebettet ist. KasperskyLab schätzt, dass zwischen August 2015 und Januar 2016 ca. 68000 Systeme mit dem Trojaner infiziert wurden, viele davon in Deutschland.

Malware als perfides Geschäftsmodell

Es ist ein Irrtum zu glauben, dass nur wenige Kriminelle mit ausreichender Fachkenntnis Zugang zu den nötigen Tools haben um einen solchen Angriff zu starten. Längst muss man selbst kein technisch versierter Hacker oder Scammer mehr sein. Durch entsprechende Angebote können auch Kriminelle ohne großes technisches Know-how solche erschreckend ausgefuchsten Tools bedienen und für Spionage, Erpressung und Betrug nutzen. Im Darknet sind Geschäftsmodelle wie Software-as-a-Service (SaaS) auch von Malware-Herstellern für „Malware-as-a-Service“ adaptiert worden. Das vergrößert die Zahl der potentiellen „Nutzer“ extrem.  Der „Kunde“ zahlt monatlich eine Gebühr (z.B. 25$/15 Tage) und kann dafür die Funktionen der bösartigen Software nutzen. KasperskyLab geht davon aus, dass dieser Service von ca. 1800 Benutzern aktiv genutzt wird – Tendenz steigend. Doch es endet nicht mit den erwähnten Fromen von Malware. Ob individuell angepasstes Botnet, fortschrittliche Advanced Persistent Threat Malware oder Standard-Trojaner – alles wird in mannigfaltigen Variationen angeboten. Dabei sind die Anbieter oft organisiert wie normale Softwarefirmen – inklusive Qualitätssicherung und Support. Wie bereits im Artikel über Next Generation Phishing beschrieben erreichen dadurch die Angriffe ein extrem gefährliches Level an Professionalität. Das Bild von Script Kiddies, die in Heimarbeit einen mehr oder weniger gefährlichen Virus zusammenschustern gehört längst der Vergangenheit an.

Was empfehlen wir als Prävention?

 


 

Links:

https://securelist.com/blog/research/73660/adwind-faq/

https://adtmag.com/articles/2016/02/09/java-malware.aspx

https://securelist.com/securelist/files/2016/02/KL_AdwindPublicReport_2016.pdf

Bild: ©bigstock/KYOGOYUGO/Kaufmann

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer