SophosLabs: Einblicke in Bot-Vorgehen

Einer der auffälligsten Trends in der Cyberkriminalität ist die Kommerzialisierung von Angriffen. Alles, was ein Krimineller für seinen Angriff benötigt, ist gegen Geld erhältlich, einschließlich ganzer Netzwerke mit infizierten Geräten zur Verbreitung bösartiger Inhalte. In diesem Zusammenhang hat SophosLabs einen ausführlichen Bericht mit dem Titel "Glupteba Malware Hides in Plain Sight" veröffentlicht. Glupteba ist eine Backdoor, die sich zu einem geheimen und komplexen Netzwerk zur Malware-Verbreitung entwickelt hat.

Die SophosLabs beleuchten aus technischer Sicht die neuesten Tools, Techniken und Prozesse (TTPs), die Glupteba verwendet. Der Report geht insbesondere auf die Fähigkeit des Bots ein, im Verborgenen zu bleiben und damit die Langlebigkeit und Beständigkeit der Angriffe zu sichern.

Die Kernaufgabe von Glupteba ist laut SophosLabs, Computer zu infizieren, um unbemerkt zusätzliche Malware einzuschleusen. Gegenwärtig ist eine der gebräuchlichsten Malware, eingeschleust über den Bot, ein Kryptominer. Sobald dieser im Netzwerk des Opfers installiert ist, kann er zusätzliche Tools herunterladen und ausführen. Nach Angaben von SophosLabs ist dadurch die Installation von Rootkits möglich, um Prozesse und Komponenten zu verstecken. Außerdem könne der Diebstahl von Browser-Informationen durch Sammlung von Cookies, Verlauf und Anmeldeinformationen erfolgen. Eine Weiterleitung von Netzwerkanfragen durch die Installation eigener Proxy-Komponenten und die Übernahme anfälliger Router seien weitere mögliche Aktionen.

Die Entwickler von Glupteba haben sehr viel Aufwand betrieben, um Funktionen zu entwickeln, die den Bot vor einer Entdeckung schützen. Laut SophosLabs-Angaben verfügt er beispielsweise über Wächter, die kontinuierlich die Leistung der Glupteba-Prozesse überwachen, damit diese fehlerfrei funktionieren (was ansonsten einen Alarm im Netzwerk auslösen könnte). Er soll sich außerdem selbst zu den Ausschlusslisten für Windows Defender hinzufügen. Eine weitere Funktion erlaube eine heimliche Aktualisierung und den Neustart bösartiger Prozesse.

Weitere Informationen finden Interessierte unter www.sophos.de.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Weitere Artikel zu Astaro AG

Zusätzliche menschliche Schutzebene

Sophos veröffentlicht Managed Detection and…

Trotz Signierung durch Microsoft Windows Hardware…

Sophos: Viele schädliche Treiber unterwegs

Sophos-Umfrage unter CIOs, IT-Leitern und…

Diskrepanz bei Sicherheitswünschen für 5G

Sophos: Urlaubscheck für die sichere Nutzung von…

Wenn die mobilen Daten baden gehen

Sophos: State of Ransomware Report

Cyberkriminalität wird für Produktionsbetriebe…

Weitere Artikel zu Cybercrime

Angriff aus dem Hintergrund

Arctic Wolf: Lateral Movement verstehen und…

Ransomware vor und nach LockBit

Trend Micro: Kleine Unternehmen sind bevorzugtes…

G Data: Unternehmen handeln fahrlässig

Security-Awareness-Trainings zu oft nur in Präsenz

Credential Theft gilt als große Gefahr

Arctic Wolf: So bleiben Login-Daten geschützt

Hochwertige Elektroartikel geklaut

Haftstrafen für diebische Amazon-Mitarbeiter

Weitere Artikel zu URW Software & Type GmbH

Diagnosegeräte, Notrufsysteme und…

Maßnahmen für bessere Cybersicherheit im…

CyberArk: Zero-Trust-Modell dringend angeraten

Maßnahmen gegen die Phishing-Gefahr

Internationale Ransomware-Kampagne

Angriffswelle nutzt alte VMware-Lücke

Ratschläge von Security-Anbieter Arctic Wolf

Was nach einem Ransomware-Angriff zu tun ist

Folgen eines Ransomware-Angriffs bewältigen

Vierfach gestraft

Weitere Artikel zu RSI Industrieelektronik GmbH

Geopolitische Spannungen gefährden Cybersicherheit…

Cyberattacken auf deutsche Behörden und…

Mit Multilayer-Storage die Widerstandsfähigkeit…

Verbesserter Schutz vor Ransomware

Hacker-Liebling DLL Sideloading

Schutz vor DLL-Missbrauch

Security-Experten warnen vor kompromittierter…

3CX für Supply-Chain-Angriff genutzt

Radware präsentiert DefensePro-X-Serie mit Cyber…

Umfassende Einsicht in den Datenverkehr