Glupteba: Versteckte Malware

SophosLabs: Einblicke in Bot-Vorgehen

03. Juli 2020, 08:00 Uhr   |  Anna Molder

SophosLabs: Einblicke in Bot-Vorgehen
© Wolfgang Traub

Einer der auffälligsten Trends in der Cyberkriminalität ist die Kommerzialisierung von Angriffen. Alles, was ein Krimineller für seinen Angriff benötigt, ist gegen Geld erhältlich, einschließlich ganzer Netzwerke mit infizierten Geräten zur Verbreitung bösartiger Inhalte. In diesem Zusammenhang hat SophosLabs einen ausführlichen Bericht mit dem Titel "Glupteba Malware Hides in Plain Sight" veröffentlicht. Glupteba ist eine Backdoor, die sich zu einem geheimen und komplexen Netzwerk zur Malware-Verbreitung entwickelt hat.

Die SophosLabs beleuchten aus technischer Sicht die neuesten Tools, Techniken und Prozesse (TTPs), die Glupteba verwendet. Der Report geht insbesondere auf die Fähigkeit des Bots ein, im Verborgenen zu bleiben und damit die Langlebigkeit und Beständigkeit der Angriffe zu sichern.

Die Kernaufgabe von Glupteba ist laut SophosLabs, Computer zu infizieren, um unbemerkt zusätzliche Malware einzuschleusen. Gegenwärtig ist eine der gebräuchlichsten Malware, eingeschleust über den Bot, ein Kryptominer. Sobald dieser im Netzwerk des Opfers installiert ist, kann er zusätzliche Tools herunterladen und ausführen. Nach Angaben von SophosLabs ist dadurch die Installation von Rootkits möglich, um Prozesse und Komponenten zu verstecken. Außerdem könne der Diebstahl von Browser-Informationen durch Sammlung von Cookies, Verlauf und Anmeldeinformationen erfolgen. Eine Weiterleitung von Netzwerkanfragen durch die Installation eigener Proxy-Komponenten und die Übernahme anfälliger Router seien weitere mögliche Aktionen.

Die Entwickler von Glupteba haben sehr viel Aufwand betrieben, um Funktionen zu entwickeln, die den Bot vor einer Entdeckung schützen. Laut SophosLabs-Angaben verfügt er beispielsweise über Wächter, die kontinuierlich die Leistung der Glupteba-Prozesse überwachen, damit diese fehlerfrei funktionieren (was ansonsten einen Alarm im Netzwerk auslösen könnte). Er soll sich außerdem selbst zu den Ausschlusslisten für Windows Defender hinzufügen. Eine weitere Funktion erlaube eine heimliche Aktualisierung und den Neustart bösartiger Prozesse.

Weitere Informationen finden Interessierte unter www.sophos.de.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Sophos GmbH

Cyberkriminalität