zurück zur Übersicht

Malware-as-a-Service

This is a picture of a businessman offering malwareAdwind, eine Java-basierte Schadsoftware vom Typ RAT (Remote Access Trojan), verschwand letztes Jahr fast von der Bildfläche. Nun ist sie wieder zurück. Die Malware existiert seit 2012 und ist unter verschiedenen Namen bekannt: Frutas, Adwind, Unrecom, AlienSpy und JSocket.

Folgende Funktionen bringen alle Varianten mit: Fernsteuerung des befallenen Systems, Datenerfassung und -exfiltration. Kompromittiert werden Rechner mit Windows, Linux und Mac OS, aber auch mobile Geräte sind betroffen. Leider sorgt Java auch bei Malware für eine gute Portierbarkeit. Als Angriffsvektor kann beispielsweise eine E-Mail mit einem Word-Dokument eingesetzt werden, in das ein Macro mit einer JAR-Datei eingebettet ist. KasperskyLab schätzt, dass zwischen August 2015 und Januar 2016 ca. 68000 Systeme mit dem Trojaner infiziert wurden, viele davon in Deutschland.

Malware als perfides Geschäftsmodell

Es ist ein Irrtum zu glauben, dass nur wenige Kriminelle mit ausreichender Fachkenntnis Zugang zu den nötigen Tools haben um einen solchen Angriff zu starten. Längst muss man selbst kein technisch versierter Hacker oder Scammer mehr sein. Durch entsprechende Angebote können auch Kriminelle ohne großes technisches Know-how solche erschreckend ausgefuchsten Tools bedienen und für Spionage, Erpressung und Betrug nutzen. Im Darknet sind Geschäftsmodelle wie Software-as-a-Service (SaaS) auch von Malware-Herstellern für „Malware-as-a-Service“ adaptiert worden. Das vergrößert die Zahl der potentiellen „Nutzer“ extrem.  Der „Kunde“ zahlt monatlich eine Gebühr (z.B. 25$/15 Tage) und kann dafür die Funktionen der bösartigen Software nutzen. KasperskyLab geht davon aus, dass dieser Service von ca. 1800 Benutzern aktiv genutzt wird – Tendenz steigend. Doch es endet nicht mit den erwähnten Fromen von Malware. Ob individuell angepasstes Botnet, fortschrittliche Advanced Persistent Threat Malware oder Standard-Trojaner – alles wird in mannigfaltigen Variationen angeboten. Dabei sind die Anbieter oft organisiert wie normale Softwarefirmen – inklusive Qualitätssicherung und Support. Wie bereits im Artikel über Next Generation Phishing beschrieben erreichen dadurch die Angriffe ein extrem gefährliches Level an Professionalität. Das Bild von Script Kiddies, die in Heimarbeit einen mehr oder weniger gefährlichen Virus zusammenschustern gehört längst der Vergangenheit an.

Was empfehlen wir als Prävention?

 


 

Links:

https://securelist.com/blog/research/73660/adwind-faq/

https://adtmag.com/articles/2016/02/09/java-malware.aspx

https://securelist.com/securelist/files/2016/02/KL_AdwindPublicReport_2016.pdf

Bild: ©bigstock/KYOGOYUGO/Kaufmann

Schreibe einen Kommentar