zurück zur Übersicht

Mexican Dark Tequila Malware – Wo bleiben die Nachos?

Bei den Kasperky Labs wurde im August 2018 eine ungewöhnliche, neue und komplexe Malware Kampagne aufgedeckt. Diese hat man gezielt gegen mexikanische User und Institute gerichtet – seit 2013 (!) lief die Kampagne unbemerkt.

Welchen Schaden verursacht die Malware…

Der Angriff zielte auf die Credentials und weitere Login-Daten der Opfer, z.B. für öffentliche Login-Seiten über den Webbrowser. Hier wurden gezielt Credentials von spezifischen Banken und beliebten Online-Stores gesucht, gespeichert und schlussendlich geklaut.

Die Malware übermittelt dazu einen außergewöhnlich fortgeschritten Keylogger, den man insgesamt 5 Jahre lang nicht entdeckte. Aufgrund einer sehr guten und in mehreren Schichten aufgebauten Payload haben auch Laufzeit-Verfahren, wie Sandboxing oder Mikro-Virtualisierung, die Malware nicht finden können. Traditionelle Antiviren-Softwares konnten daher ohne eine menschliche Analyse und Aufdeckung nicht gegen die Malware schützen. Durch Zufall hat ein User die Datei an seinen AV-Hersteller weitergeleitet (in diesem Fall Kaspersky), die wiederum durch tiefergehende (menschliche) Analyse die Kampagne aufdecken konnten.

Wäre es nicht zu diesem Zufall gekommen, hätte die Malware wahrscheinlich noch weitere 5 Jahre unentdeckt bleiben können. In der Zwischenzeit wurden Daten von Webseiten wie Dropbox, Amazon, GoDaddy und anderen Services gesammelt und von den Autoren der Schadsoftware geklaut.

Der Verbreitungsweg…

Die Malware selbst ist über eine Phishing-Kampagne oder USB-Sticks auf die Computer der Opfer übertragen worden. Nur wenn bestimmte Voraussetzungen gegeben waren (z.B. wenn ein bestimmer AV auf dem System installiert war), aktivierte sich die Malware und hat Ihre Payload ausgeführt. So konnte sichergestellt werden, dass sie besonders schwache Opfer trifft und somit lange unentdeckt bleiben konnte.

An dieser Stelle wird noch einmal dringend auf die Gefahr hingewiesen, fremde/unbekannte USB Sticks an einen Rechner anzuschließen oder E-Mails zu öffnen. Dies empfiehlt sich nicht, völlig unabhängig von der eingesetzten Endpoint Protection.

Auf Künstliche Intelligenz (KI)-basierte Endpoint Protection schützt vor der Malware durch automatische tiefergehende Analyse der Payload

Interne Tests der SecureLink Germany haben gezeigt, dass Lösungen wie CylancePROTECT, mit Ihrer fortschrittlichen auf KI und Machine Learning (ML) basierten Verteidigungsstrategie, diese Malware hätten finden können. Sogar wenn sich diese einfach nur statisch auf dem Dateisystem befindet. Die Schadsoftware musste dazu nicht aktiv sein und konnte dadurch Ihre Obfuskierungsmaßnahmen nicht einleiten (‚Welcher AV befindet sich auf dem System?‘).

Weiterführende Tests haben gezeigt, dass ein CylancePROTECT Agent von Oktober 2015 die Bedrohung hätte entdecken können. Dieser hätte das Problem damit viel früher aufdecken können. Vergleichbare Lösungen haben keine so gute Detection Rate gezeigt.

 


Titelbild: © GettyImages-692856274

 

 

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer