Sicherheitsforscher entdeckten eine neue Massen-Malware-Kampagne im Zusammenhang mit dem zuvor bekannten Manuscrpypt-Loader, das Teil des Arsenals der Lazarus APT-Gruppe ist. Die Entdeckung stammt aus der Secure List von Kaspersky.
„Seltsamerweise, Der Datenexfiltrationskanal der Malware verwendet eine Implementierung des KCP-Protokolls, die bisher nur als Teil des Toolset der APT41-Gruppe in freier Wildbahn zu sehen war. Wir haben die neu identifizierte Malware PseudoManuscrypt getauft,” Forscher der Secure List sagten.
Was ist PseudoManuscrypt-Malware??
Der neu erkannte Malware-Loader verwendet ein MaaS (Malware-as-a-Service) Plattform, um ihre bösartigen Nutzlasten in Archiven von Installationsprogrammen für Raubkopien zu verteilen. Eine Möglichkeit, wie sich die Malware auf einem System verteilt, ist das bekannte Glupteba-Botnet. Da sowohl Glupteba als auch PseudoManuscrypt auf Raubkopien von Software angewiesen sind, um sich zu verbreiten, die Forscher glauben, dass die Kampagne nicht zielgerichtet ist und eher groß angelegt ist.
Ab Januar 2020 bis November 10 2021, mehr als 35,000 Instanzen der Malware wurden auf Computern weltweit blockiert. Es sollte beachtet werden, dass diese Art von Angriff nicht typisch für die Lazarus APT-Gruppe ist, vor allem für seine gezielten Angriffe bekannt.
Wer gezielt? Zu den Zielen von PseudoManuscrypt-Malware gehören eine Vielzahl von Industrie- und Regierungsorganisationen, wie Unternehmen im militärisch-industriellen Komplex und Forschungslabors, der Bericht sagte.
Die Telemetrie zeigt das zumindest 7.2% aller durch die PseudoManuscrypt-Malware kompromittierten Maschinen sind Teil industrieller Kontrollsysteme (ICS) die Organisationen in verschiedenen Branchen einsetzen, wie Engineering, Gebäudeautomation, Energie, Herstellung, Konstruktion, Dienstprogramme, und Wassermanagement.
Was ist der Zweck von PseudoManuscrypt? Das Haupt-Malware-Modul scheint für umfangreiche Spyware-Funktionalitäten ausgelegt zu sein. Es ist in der Lage, VPN-Verbindungsdaten zu sammeln, Tastenanschläge protokollieren, Screenshots und Videos aufnehmen, Ton mit dem Mikrofon aufnehmen, Diebstahl von Zwischenablagedaten und Betriebssystem-Ereignisprotokolldaten, unter anderem. In einer Nussschale, Angreifer können die volle Kontrolle über das kompromittierte System haben.
FinSpy ist eine weitere hochgradig leistungsfähige Spyware
Im September 2021, eine weitere hochgradig leistungsfähige Spyware wurde von Kaspersky in freier Wildbahn entdeckt. Die Forscher verfolgten die Entwicklung von FinSpy seit 2011, mit einem unerklärlichen Rückgang der Erkennungsrate für Windows in 2018. Zu diesem Zeitpunkt begann das Team, verdächtige Installer legitimer Anwendungen zu entdecken, Backdoored mit einem relativ kleinen verschleierten Downloader.
FinSpy wurde beschrieben als eine hochmodulare Spyware, da steckt viel arbeit drin. Die dahinter stehenden Bedrohungsakteure haben extreme Anstrengungen unternommen, um sie für Sicherheitsforscher unzugänglich zu machen. Dieser Aufwand ist besorgniserregend und beeindruckend. Der gleiche Aufwand wurde in die Verschleierung gesteckt, anti-Analyse, und der Trojaner selbst.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: