Eine neue, in Python entwickelte Hintertür wurde von Sicherheitsforschern entdeckt, die einen legitimen Tunnel-Dienst als Brücke zum Abgreifen von Anmeldedaten nutzt. Die Schadsoftware verbreitet sich über bösartige Dateien und wendet Umgehungstechniken an, um Antivirenprogramme auszutricksen. Ist sie erst einmal im System, baut sie verschlüsselte Verbindungen zu einem C2-Server auf, was die Blockierung ihres Datenverkehrs erschwert. Ihr Ziel ist es, in Browsern wie Chrome und Firefox gespeicherte Passwörter sowie Zugänge zu Cloud-Plattformen wie AWS und Azure zu stehlen.
Legitime Tunnel als Deckmantel für Datendiebstahl 🕳️
Die Hintertür nutzt einen legitimen Tunnel-Dienst, um ihren Befehls- und Kontrolldatenverkehr zu tarnen, was die Erkennung durch periphere Sicherheitssysteme erschwert. Geschrieben in Python, verwendet sie Standardbibliotheken, um mit dem Betriebssystem zu interagieren, Daten aus den Passwortspeichern von Browsern zu extrahieren und über APIs Anmeldedaten von Cloud-Diensten zu sammeln. Ihr modulares Design ermöglicht es, Diebstahlmodule zu aktualisieren, ohne den Kern der Schadsoftware zu verändern. Die Forscher weisen darauf hin, dass ihre Umgehungsfähigkeiten Sandbox-Prüfungen und Ausführungsverzögerungen umfassen, um automatisierte Analysen zu vermeiden.
Cyberkriminelle wissen auch, wie man VPNs nutzt – aber zum Stehlen 🦹
Es scheint, dass selbst die Bösen sich modernisiert haben und jetzt VPN-Tunnel nutzen, wie jeder Büroangestellte, der von der Arbeit aus Netflix schauen will. Der Unterschied ist, dass sie nicht nach Serien suchen, sondern nach deinen AWS- und Azure-Passwörtern. Das Traurigste ist, dass der Tunnel-Dienst völlig legal und legitim ist, sodass wir nicht einmal dem Werkzeug die Schuld geben können. Es ist, als ob ein Einbrecher ein Uber benutzt, um zu deinem Haus zu kommen: Das Auto hat keine Schuld, aber die Fahrt bleibt trotzdem verdächtig.