Vorsicht vor blindem Cyber-Passagier
Verbreitung des Lurk-Trojaners über legitimes Fernzugriffs-Tool
Bei der Analyse des gefährlichen Banking-Trojaners Lurk sind die Mitarbeiter von Kaspersky Lab auf eine perfide Methode gestoßen, über die Cyberkriminelle schädliche Software zielgerichtet auf Unternehmensrechner installieren können. Beim Download der legitimen und bei Systemadministratoren beliebten Fernwartungssoftware Ammyy Admin haben Kriminelle heimlich die Lurk-Malware mitgeliefert und installiert.
Die Lurk-Gang wurde im Juni 2016 in Russland festgenommen. Den Cyberkriminellen wird vorgeworfen, 45 Millionen US-Dollar von Banken, Finanzinstituten und anderen Organisationen gestohlen zu haben. Die Experten von Kaspersky Lab stellten jetzt fest, dass sich der Lurk-Trojaner beim Download des bei IT-Administratoren beliebten Fernzugriffs-Tools Ammyy Admin mit einschleuste. Die Absicht dahinter: Obwohl einige IT-Sicherheitslösungen remote-fähige Tools als gefährlich einstufen, neigen Nutzer und Systemadministratoren dazu, die entsprechende Warnmeldung zu ignorieren, weil sie von einer False-Positive-Meldung ausgehen. Das Gefährliche dabei: Im Fall von Lurk gelangt unbemerkt Malware auf ein System und wird installiert – trotz Warnmeldung.
„Die Nutzung legitimer Software ist eine sehr effektive Technik, um Malware zu verbreiten“, sagt Vasily Berdnikov, Malware Analyst bei Kaspersky Lab. „Dadurch erwecken Cyberkriminelle beim Nutzer den Anschein, dass es sich dabei um sichere Software handle. Wer Software von einem bekannten Anbieter herunterlädt und installiert, denkt nicht daran, dass ein blinder Cyberpassagier dabei sein könnte. Cyberkriminelle erleichtern mit dieser Methode den Zugang zu ihren Zielen und erhöhen die Anzahl der Opfer.“
Kaspersky Lab geht davon aus, dass der Lurk-Trojaner seit Februar 2016 über die Webseite ammyy.com verbreitet wurde. Die Angreifer haben wohl Schwachpunkte im Sicherheitssystem der Ammyy-Admin-Web-Seite ausgenutzt und die Malware ins Installationsarchiv des Fernzugriffprogramms geschmuggelt. Den Web-Seitenbetreiber hat Kaspersky Lab direkt nach der Entdeckung davon in Kenntnis gesetzt; die Schwachstelle hat dieser anschließend sofort behoben.
Im April 2016 kam eine weitere Version des Lurk-Trojaners auf der Ammyy-Webseite zum Vorschein. Diese leicht veränderte Version des Schädlings war in der Lage, automatisch zu prüfen, ob ein Computer zu einem Unternehmensnetzwerk gehört. Der Schädling wurde nur ausgeliefert, wenn es sich tatsächlich um einen Firmenrechner handelte, also sehr zielgerichtet.
Am 1. Juni 2016 entdeckten die Experten von Kaspersky Lab noch einen Trojaner mit dem Namen Fareit, der in die Web-Seite implantiert war. Der Schädling sollte persönliche Nutzerinformationen entwenden. Kaspersky Lab hat auch dazu die Betreiber umgehend informiert. Das Problem ist in der Zwischenzeit behoben.
Um derartige Cyberrisiken zu verhindern, sollten IT-Dienstleister ihre Organisation regelmäßig auf mögliche Schwachstellen überprüfen, immer im Verbund mit dem Einsatz einer IT-Sicherheitslösung, etwa Kaspersky Endpoint Security for Business, sowie Sicherheitsschulungen ihrer Mitarbeiter durchführen.
Die Kaspersky-Lösungen entdecken und blockieren die Trojaner unter den Namen „Trojan-Spy.Win32.Lurk“ und „Trojan-PSW.Win32.Fareit“.
Weitere Informationen über die Funktionalität von Lurk sind unter securelist.com/blog/research/75040/lurk-banker-trojan-exclusively-for-russia/ verfügbar.
- Bekannte Erpressersoftware schlägt wieder zu
- Home Office: Arbeitgeber übersehen Sicherheitsrisiken
- DLP für den Mittelstand erschwinglich machen
- Umfassende Data Leak Prevention auch für Linux
Lesen Sie mehr zum Thema
