ESET deckt neue Spionageaktivitäten von Cyberkriminellen auf

Eset_News
Anzeige

Beitrag teilen

ESET Forscher haben eine Spionagekampagne analysiert, die sich gezielt gegen Unternehmen richtet und noch immer aktiv ist. Die laufende Aktion, die den Namen Bandidos trägt, richtet sich gezielt auf IT-Infrastrukturen in spanischsprachigen Ländern.

90 Prozent der Erkennungen entfallen dabei auf Venezuela. Allein in 2021 haben die ESET Forscher mehr als 200 Varianten der Malware in Venezuela gesehen. Eine bestimmte Wirtschaftsbranche, auf die diese Kampagne abzielt, konnten die Experten dabei jedoch nicht identifizieren.

Anzeige

Installiert bösartige Chrome-Erweiterung

„Besonders interessant ist die Chrome-Inject-Funktionalität“, sagt ESET Forscher Fernando Tavella, der die Bandidos-Kampagne untersucht hat. „Nachdem die Kommunikation mit dem Command-and-Control-Server des Angreifers hergestellt ist, lädt das Schadprogramm eine DLL-Datei herunter, die eine bösartige Chrome-Erweiterung erstellt. Diese versucht daraufhin, alle Anmeldeinformationen abzurufen, die das Opfer an eine URL sendet.“

Ablauf eines Angriffs

Die potenziellen Opfer erhalten bösartige E-Mails mit einem PDF-Anhang. Die PDF-Datei enthält einen Link zum Herunterladen eines komprimierten Archivs. Darin befindet sich eine ausführbare Datei: ein sogenannter Dropper, dessen Aufgabe es ist, das Spionageprogramm Bandidos in das System zu schleusen. Die Angreifer verwenden URL-Verkürzer wie Rebrandly oder Bitly in ihren PDF-Anhängen. Die Kurzlinks leiten auf Cloud-Speicherdienste wie Google Cloud Storage, SpiderOak oder pCloud um, von wo aus die Malware heruntergeladen wird.

Anzeige

Vorgeschichte von Bandidos

Die ESET Forscher haben bei der Analyse herausgefunden, dass das Spionageprogramm Bandidos eine fortgeschrittene Version der Malware Bandook ist. Dieser ist ein Remote-Access-Trojaner (RAT), der bereits seit 2005 sein Unwesen treibt. 2016 kam er unter anderem zum Einsatz, um Journalisten und Dissidenten in Europa anzugreifen. 2018 und 2020 wurde der RAT für Attacken gegen Bildungseinrichtungen, Mediziner, Regierungen und verschiedene Branchen wie Finanzwesen, IT und Energie eingesetzt. „In früheren Berichten wurde erwähnt, dass es sich bei den Entwicklern von Bandook um Auftragsentwickler handeln könnte. Das macht angesichts der verschiedenen Kampagnen mit unterschiedlichen Zielen, die im Laufe der Jahre beobachtet wurden, durchaus Sinn. Im Jahr 2021 haben wir nur diese eine aktive Cybercrime-Kampagne gesehen haben, die wir hier dokumentieren. Das zeigt aber, dass die Malware immer noch ein relevantes Werkzeug für Cyberkriminelle ist“, meint Matías Porolli, ein ESET-Forscher, der mit Tavella an der Analyse gearbeitet hat.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Cyberattacke auf Helmholtz Zentrum München

Bereits am 15. März war das Helmholtz Zentrum München erst einmal nicht mehr zu erreichen. Eine Cyberattacke hatte alles lahmgelegt. ➡ Weiterlesen

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen

Chrome dichtet 7 hochgefährliche Lücken ab

Das Bug-Bounty-Programm von Chrome lohnt sich: Programmierer und Spezialisten haben 7 hochgefährliche Sicherheitslücken an Google gemeldet und eine Belohnung erhalten. ➡ Weiterlesen

Outlook-Angriff funktioniert ohne einen Klick!

Selbst das BSI warnt vor der Schwachstelle CVE-2023-23397 in Outlook, da diese sogar ohne einen einzigen Klick eines Anwenders ausnutzbar ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen