Heimliche Malware zeigt, warum Sie unbekannte E-Mails nicht öffnen sollten

Kürzlich wurde eine neue Art von Malware entdeckt, die es schaffte, an 56 separaten Antivirus-Produkten vorbeizuschlüpfen, bevor sie schließlich erwischt wurde.

Wenn die Malware ausgeführt wird, kann sie Ihrem Gerät ernsthaften Schaden zufügen – und sie scheint so gut gemacht zu sein, dass sie das Produkt nationalstaatlicher Akteure sein könnte. Das Öffnen eines E-Mail-Anhangs reicht aus, um ihm genügend Zugriff zu gewähren, um Chaos anzurichten.

Unit 42, ein Threat-Intelligence-Team aus Palo Alto, hat soeben einen Bericht über eine Malware veröffentlicht , die es geschafft hat, der Erkennung durch 56 Antivirus-Produkte zu entgehen. Nach Angaben des Teams ist die Art und Weise, wie die Malware erstellt, verpackt und bereitgestellt wurde, sehr ähnlich zu verschiedenen Techniken, die von der APT29-Bedrohungsgruppe verwendet werden, die auch unter den Namen Iron Ritual und Cosy Bear bekannt ist. Diese Gruppe wird dem russischen Auslandsgeheimdienst (SVR) zugeschrieben, was darauf hindeutet, dass es sich bei der fraglichen Malware um eine nationalstaatliche Angelegenheit handeln könnte.

Laut Unit 42 wurde die Malware erstmals im Mai 2022 entdeckt und in einem ziemlich seltsamen Dateityp versteckt gefunden – ISO, einer Disk-Image-Datei, die verwendet wird, um den gesamten Inhalt einer optischen Disc zu enthalten. Die Datei enthält eine bösartige Payload, von der Unit 42 glaubt, dass sie mit einem Tool namens Brute Ratel (BRC4) erstellt wurde. BRC4 ist stolz darauf, schwer zu erkennen zu sein, und führt die Tatsache an, dass die Autoren des Tools Antivirus-Software rückentwickelt haben, um das Tool noch heimlicher zu machen. Brute Ratel ist bei APT29 besonders beliebt, was der Behauptung, dass diese Malware mit der in Russland ansässigen Cozy Bear-Gruppe in Verbindung gebracht werden könnte, zusätzliches Gewicht verleiht.

Die ISO-Datei gibt vor, der Lebenslauf (Lebenslauf) einer Person namens Roshan Bandara zu sein. Bei der Ankunft im E-Mail-Postfach des Empfängers tut es nichts, aber wenn es angeklickt wird, wird es als Windows-Laufwerk gemountet und zeigt eine Datei namens „Roshan-Bandara_CV_Dialog“ an. An diesem Punkt kann man sich leicht täuschen lassen – die Datei scheint eine typische Microsoft Word-Datei zu sein, aber wenn Sie darauf klicken, führt sie cmd.exe aus und fährt mit der Installation von BRC4 fort.

Wenn das erledigt ist, können Ihrem PC alle möglichen Dinge passieren – alles hängt von den Absichten des Angreifers ab.

Unit 42 stellt fest, dass das Auffinden dieser Malware aus mehreren Gründen besorgniserregend ist. Zum einen besteht eine hohe Wahrscheinlichkeit, dass es mit APT29 verknüpft ist. Abgesehen von den oben aufgeführten Gründen wurde die ISO-Datei am selben Tag erstellt, an dem eine neue Version von BRC4 veröffentlicht wurde. Dies deutet darauf hin, dass staatlich unterstützte Cyberangriffsakteure ihre Angriffe zeitlich so planen könnten, dass sie zum günstigsten Zeitpunkt eingesetzt werden. APT29 hat in der Vergangenheit auch bösartige ISOs verwendet, also scheint alles in Einklang zu stehen.

Die nahezu Unauffindbarkeit ist an sich schon besorgniserregend. Damit Malware so heimlich vorgeht, ist viel Arbeit erforderlich, und es deutet darauf hin, dass solche Angriffe eine echte Bedrohung darstellen können, wenn sie von den falschen Leuten eingesetzt werden.

Wie können Sie sicher bleiben?

Angesichts der häufigen Berichte , dass Cyberangriffe in den letzten Jahren massiv zugenommen haben, kann man hoffen, dass sich viele Benutzer der Gefahren bewusster sind, wenn sie willkürlichen Personen und ihren Dateien allzu sehr vertrauen. Manchmal kommen diese Angriffe jedoch aus unerwarteten Quellen und in verschiedenen Formen. Enorme DDoS-Angriffe (Distributed Denial-of-Service) kommen ständig vor, aber diese sind eher ein Problem für Unternehmensbenutzer. Manchmal kann Software, die wir kennen und der wir vertrauen , als Köder verwendet werden , um uns dazu zu bringen, dem Download zu vertrauen. Wie schützt man sich, wenn die Gefahr hinter jeder Ecke zu lauern scheint?

Zunächst einmal ist es wichtig zu wissen, dass viele dieser groß angelegten Cyberangriffe gegen Unternehmen gerichtet sind – es ist unwahrscheinlich, dass Einzelpersonen ins Visier genommen werden. In diesem speziellen Fall, in dem die Malware jedoch in einer ISO-Datei versteckt ist, die sich als Lebenslauf ausgibt, könnte sie plausibel von Personen in verschiedenen Personalabteilungen geöffnet werden, einschließlich denen in kleineren Organisationen. Größere Unternehmen haben oft robustere IT-Abteilungen, die das Öffnen einer unerwarteten ISO-Datei nicht zulassen würden – aber man weiß nie, wann etwas durchs Raster gehen könnte.

Vor diesem Hintergrund ist es nie eine schlechte Idee, eine sehr einfache Regel zu befolgen, die viele von uns immer noch manchmal vergessen – öffnen Sie niemals Anhänge von unbekannten Empfängern. Dies kann für eine Personalabteilung, die aktiv Lebensläufe sammelt, schwierig sein, aber Sie als Einzelperson können diese Regel in Ihrem täglichen Leben umsetzen und verpassen nichts. Es ist auch keine schlechte Idee, eine der besten verfügbaren Antivirensoftware- Optionen zu wählen. Die größte Sicherheit kann jedoch erreicht werden, indem Sie einfach achtsam surfen und keine Websites besuchen, die nicht allzu legitim erscheinen, sowie vorsichtig mit Ihren E-Mails umgehen.