Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Wenn der Trojaner über Google Drive kommt

Cloud-Computing mal anders

Wenn der Trojaner über Google Drive kommt

28. Juli 2016, 10:52 Uhr | Elke von Rekowski
Auch Cyberkriminelle nutzen die Cloud für ihre Zwecke.
© © Weissblick - Fotolia.com

Dass auch Cyberkriminelle die Cloud immer mehr für ihre Zwecke ausnutzen, zeigt eine aktuelle Warnung von Palo Alto Networks. Das Sicherheitsunternehmen hat einen Trojaner entdeckt, der über Google Drive ausgeliefert wird.

Palo Alto Networks warnt vor einem genannten »9002«-Trojaner, der mit Hilfe einer Kombination aus verkürzten Links und einer auf Google Drive geteilten Datei auf die Systeme der Opfer geschleust wird. Bei dem aktuellen Angriff führt der mithilfe des URL-Verkürzungsdienstes TinyURL verkürzte Link zu einer Zip-Datei auf Google Drive. Bei der ausführbaren Datei im Zip-Archiv handelt es sich um einen Trojaner, der ein Köderdokument und eine ausführbare Datei im System speichert und dann beide öffnet. Die ausführbare Datei verwendet das PowerPoint-Symbol, um das Opfer dazu zu verleiten, die vermeintliche Präsentation und damit die ausführbare Datei zu starten.

Der enthaltene Dropper erstellt einen zufällig benannten Ordner, um darin die legitime ausführbare Datei RealNetworx.exe zu speichern. Diese Datei wird von den Angreifern dazu genutzt, nebenbei eine DLL (MPAMedia.dll), also eine dynamische Programmbibliothek, herunterzuladen. Diese überprüft zunächst, ob die Systemzeit später als 20. Mai 2016 ist. Die Sicherheitsexperten gehen davon aus, dass auf diese Weise eine Sandbox umgangen werden soll. Danach werden eine »Main.dll«-Datei geladen und exportierte Funktionen abgerufen, um über Shellcode den eigentlichen Funktionscode des Trojaners abzurufen. Der 9002-Trojaner kommuniziert daraufhin mit der Domain logitechwkgame[.]com, die zum Command-and-Control (C2)-Server führt.

Neu ist der Missbrauch von Google Drive für das Hosting schädlicher Dateien bei Angriffen nicht. Denn zwischen anderem legitimen Datenverkehr von einer bekannten Hosting-Plattform lässt sich das Herunterladen von Malware einfach verschleiern. Angreifer nutzen immer noch Spear-Phishing als ihre primäre Angriffsmethode. Doch diese Technik der Kriminellen ist mittlerweile so bekannt, dass viele Anwender vorsichtiger beim Öffnen verdächtiger E-Mail-Anhänge oder Links sind. Aus diesem Grund weichen Angreifer auf noch nicht so bekannte Methoden aus, um erfolgreich Malware auszuliefern. Bei der Nutzung eines URL-Verkürzungsdienstes und eines Umleitungsservers haben haben sie gute Chancen unentdeckt zu bleiben und erfolgreich anzugreifen, da es hierbei schwieriger ist einzuschätzen, ob von einem solchen Link eine Gefahr ausgeht.

Lesen Sie mehr zum Thema

Palo Alto Networks GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Palo Alto Networks GmbH

Cybersicherheit im Public Sector

Warum NIS2 mehr ist als Regulierungsdruck

Für Palo Alto Networks-Partner in DACH

SOC-MSSP-Lösung von Exclusive Networks

Palo Alto: Ransomware-Eskalation

Medusa schlägt professioneller zu

Security-Distribution

TD Synnex vertreibt Lösungen von Palo Alto Networks in Europa

Cybersicherheit für Unternehmenskunden

Florian Hartwig ist Vice President Germany bei Palo Alto

Matchmaker+
G DATA CyberDefense AG

G DATA CyberDefense AG
Vodia Networks GmbH

Vodia Networks GmbH
WatchGuard Technologies

WatchGuard Technologies
HP Deutschland GmbH

HP Deutschland GmbH
nexspace data centers GmbH

nexspace data centers GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)