Eine neue, in Python entwickelte Hintertür wurde von Sicherheitsforschern entdeckt, die einen legitimen Tunnel-Dienst als Brücke zum Diebstahl von Anmeldeinformationen nutzt. Die Schadsoftware verbreitet sich über bösartige Dateien und wendet Umgehungstechniken an, um Antivirenprogramme zu täuschen. Einmal im System, baut sie verschlüsselte Verbindungen zu einem C2-Server auf, was die Blockierung ihres Datenverkehrs erschwert. Ihr Ziel ist es, in Browsern wie Chrome und Firefox gespeicherte Passwörter sowie Zugänge zu Cloud-Plattformen wie AWS und Azure zu stehlen.
Legitime Tunnel als Deckmantel für Datendiebstahl 🕳️
Die Hintertür verwendet einen legitimen Tunnel-Dienst, um ihren Befehls- und Steuerungsverkehr zu tarnen, was die Erkennung durch periphere Sicherheitssysteme erschwert. In Python geschrieben, nutzt sie Standardbibliotheken, um mit dem Betriebssystem zu interagieren, Daten aus den Passwortspeichern von Browsern zu extrahieren und über APIs Anmeldeinformationen von Cloud-Diensten zu sammeln. Ihr modulares Design ermöglicht es, Diebstahlmodule zu aktualisieren, ohne den Kern der Schadsoftware zu verändern. Die Forscher weisen darauf hin, dass ihre Umgehungsfähigkeiten Sandbox-Prüfungen und Ausführungsverzögerungen umfassen, um automatisierte Analysen zu vermeiden.
Cyberkriminelle wissen auch, wie man VPNs nutzt – aber zum Stehlen 🦹
Es scheint, dass selbst die Bösen sich modernisiert haben und jetzt VPN-Tunnel wie jeder Büroangestellte nutzen, der Netflix von der Arbeit aus sehen will. Der Unterschied ist, dass sie nicht nach Serien suchen, sondern nach deinen AWS- und Azure-Passwörtern. Das Traurigste ist, dass der Tunnel-Dienst völlig legal und legitim ist, sodass wir nicht einmal dem Werkzeug die Schuld geben können. Es ist, als ob ein Dieb ein Uber benutzt, um zu deinem Haus zu kommen: Das Auto hat keine Schuld, aber die Fahrt bleibt trotzdem verdächtig.