Meister der Tarnung: Downloader Nemucod ist zurück

Keine Kommentare
 

Die Wahrscheinlichkeit eines erfolgreichen Malware-Angriffs hängt stark davon ab, wie raffiniert der Download-Vorgang getarnt wird. Eine wahre Meisterin in dieser Disziplin ist die Malware Nemucod, die während der vergangenen Monate zu den aktivsten Exemplaren ihrer Gattung gehörte. Sie fiel in der Vergangenheit vor allem durch die Verbreitung von Erpressungs-Trojanern (Ransomware) auf. Nun ist sie mit einer neuen Kampagne und neuer Payload zurück.


Binär,Mann,Verzweifelt

Meister der Tarnung: Downloader Nemucod ist zurück (pixabay.com/geralt)

Noch im März lud der Downloader Nemucod in erster Linie den mittlerweile obsoleten TeslaCrypt sowie den noch immer aktiven Locky nach. Bei der neuerdings verteilten und von ESET unter dem Alias Win32/Kovter geführten Malware handelt es sich um einen Backdoor-Trojaner, der Angreifern mittels Command-and-Control-Server Zugriff auf infizierte Rechner ermöglicht. Unverändert blieb die Strategie der Nemucod-Verteilung: Versteckt in einer als Rechnung getarnten .zip-Datei wartet die Malware auf ihre Ausführung durch gutgläubige User. In der Absicht, ein Textdokument zu öffnen, übersehen sie Nemucods JavaScript-Endung “.js” – und die Falle schnappt zu.

Multi-Tasking-Talent Kovter startet 30 Threads

Mit Kovter lädt Nemucod ein echtes Multitalent nach: Über die Backdoor-Funktionalität hinaus verfügt die Malware über eine so genannte “Ad-Clicking” Komponente. Vor den Augen des Nutzers verborgen klickt Kovter mittels eines eingebetteten Browsers selbstständig auf Werbekampagnen. Um ihre Einnahmen zu vervielfachen, haben die Malware-Programmierer die gleichzeitige Ausführung von bis zu 30 Threads implementiert. Damit der dadurch verursachte CPU- und RAM-Konsum nicht auffällt, “beobachtet” Kovter die zur Verfügung stehenden Kapazitäten. Indem er die Anzahl der Threads variabel anpasst, bleiben seine Aktivitäten verborgen.

Eine weitere Besonderheit von Kovter ist die so genannte dateilose Infektion: Statt in einer Datei, verbirgt sich Kovters Code in Registry-Einträgen. Beim Systemstart wird die Malware unbemerkt als Prozess in den Arbeitsspeicher geladen, so dass sie von konventionellen Anti-Viren-Lösungen mitunter nur schwer aufgespürt werden kann. Indem Kovter durch Ausführung in einer virtuellen Maschine überprüft und die entsprechende Information an den C&C-Server sendet, kann die Analyse durch Sicherheitsexperten zusätzlich erschwert werden.

Um sich vor Nemucod und Kovter zu schützen, genügt es, die durch Nemucod verursachte Kettenreaktion zu verhindern. Das standardmäßige Blockieren bestimmter Dateiendungen wie .js, .exe., vbs oder .bat durch eine entsprechende Mail-Client-Konfiguration ist in diesem Zusammenhang ebenso wichtig wie ein aufmerksamer Umgang mit E-Mail-Anhängen im Allgemeinen. Oft reicht schon ein Blick auf den Absender, um die Gefahr zu erkennen.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen