USB-Malware mit Tarnkappe USB-Malware mit Tarnkappe - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.03.2016 Rudolf Felser

USB-Malware mit Tarnkappe

Die von ESET entdeckte Malware "USB Thief" stiehlt Daten von vermeintlich sicheren air-gapped Systemen und bleibt dabei unerkannt.

Obacht: Tarnkappen-Trojaner auf USB-Stick überbrückt Air Gap

Obacht: Tarnkappen-Trojaner auf USB-Stick überbrückt Air Gap

© CC0 Public Domain - pixabay.com

Der europäische Security-Software-Hersteller ESET hat einen neuen Trojaner entdeckt. Die Malware Win32/PSW.Stealer.NAI, vereinfacht "USB Thief" genannt, nutzt ausschließlich USB-Sticks zur Verbreitung. Mit dieser tückischen Vorgehensweise werden keine Spuren auf dem infizierten Computer hinterlassen. Die Entwickler haben zudem einen ausgetüftelten Schutzmechanismus entwickelt, der den Trojaner vor Vervielfältigung und Reproduzierung schützt. So ist er schwieriger zu analysieren und kann kaum ausfindig gemacht werden.

ER HINTERLÄSST KEINE SPUREN

"Neben der Verbreitungsmethode direkt von einem USB-Stick aus, sorgt auch die Struktur für Aufsehen. Eine AES-128-Verschlüsselung und einen Schlüssel, der aus der USB-ID generiert wird, sieht man nicht alle Tage bei einem USB-Trojaner", sagt Raphael Labaca Castro, Security Researcher bei ESET.

"Offenbar wurde diese Malware für gezielte Angriffe auf Systeme entwickelt, die nicht mit dem Internet verbunden sind", so Tomas Gardo, Malware Analyst bei ESET. Bei ESET. USB Thief wird nur auf USB-Sticks ausgeführt und hinterlässt keinerlei Spuren. Sobald der USB-Stick aus dem Computersystem entfernt wird, gibt es keine Beweise mehr für einen Datendiebstahl. Geschädigte Opfer merken so nicht einmal, dass ihre Daten gestohlen wurden. USB Thief verbreitet sich nicht über das infizierte System - was sehr ungewöhnlich für einen Trojaner ist. Obendrein nutzt die Malware eine mehrstufige Verschlüsselung, die an den USB-Stick gebunden ist. Dadurch gestaltet sich die Analyse des Schädlings als äußerst kompliziert.

UNGEWÖHNLICHES VERHALTEN

Der Trojaner kann als Plug-In oder als Dynamic Link Library (Programmbibliothek) auf dem Datenspeicher gesichert werden. Mit diesem Verfahren läuft die Malware als Hintergrundprozess auf dem Speichersystem. "Diese Vorgehensweise ist sehr ungewöhnlich und gleichzeitig auch sehr gefährlich. Nutzer sollten sich die möglichen Gefahren, die von externen Datenspeichern ausgehen können, bewusst machen. Vor allem wenn sie aus unbekannten Quellen stammen, ist Vorsicht geboten", fügt Tomss Gardo. hinzu.

Wie Untersuchungen von ESET zeigen, ist die Malware aktuell noch nicht weit verbreitet. Dennoch hat sie großes Potential für zielgerichtete Attacken, insbesondere auf Computersysteme, die aus Sicherheitsgründen nicht mit dem Internet verbunden sind – sogenannten "air-gapped Systemen".

Die Vorgehensweise erinnert unter anderem an die von ESET 2014 entdeckte Malware "Win32/USBStealer", die ebenfalls das Air Gap überbrückt. Sie wurde von der Sednit-Cyber-Spionagegruppe genutzt, um über Wechseldatenträger von der Außenwelt isolierte Systeme anzugreifen. Diese Schadsoftware war jedoch noch nicht ganz so ausgereift wie der aktuelle Schädlingsfund. (rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: