06.01.2022 • IT-Security, Cyber Security

Kaspersky: ICS-Computer von neuer Spyware-Kampagne betroffen

Kaspersky: ICS-Computer von neuer Spyware-Kampagne betroffen

Kaspersky-Experten haben eine neue Malware beobachtet, die mehr als 35.000 Computer in 195 Ländern befallen hat.

Die Malware „PseudoManuscrypt“ weist Ähnlichkeiten zur „Manuscrypt“-Malware der Advanced Persistent Threat (APT)-Gruppe Lazarus auf. Sie ist mit fortschrittlichen Spionagefunktionen ausgestattet und wurde bisher bei Angriffen auf Regierungsorganisationen und industrielle Kontrollsysteme (ICS) entdeckt.

Industrieunternehmen gehören zu den begehrtesten Zielen von Cyberkriminellen – sowohl aus finanziellen Gründen als auch, weil sie viele Informationen zu bieten haben. So zeigten dieses Jahr APT-Gruppen wie Lazarus und APT41 reges Interesse an Industrieunternehmen. Bei der Unter-suchung einer Reihe von Angriffen fanden die Experten von Kaspersky eine neue Malware, die gewisse Ähnlichkeiten mit der Malware Manuscrypt von Lazarus aufweist, die während der ThreatNeedle-Kampagne dieser Gruppe gegen die Verteidigungsindustrie eingesetzt wurde. Der Name PseudoManuscrypt basiert deshalb auf der Ähnlichkeit der beiden Kampagnen.


WIN>DAYS 2022  Virtuelle Kongressmesse für Safety und Security  15.-17. Februar 2022  Infos hier - Kostenfrei anmelden hier 


PseudoManuscrypt wird zunächst über gefälschte Installationsarchive für raubkopierte Software auf die Systeme der Zielpersonen heruntergeladen, von denen einige für ICS-spezifische Raubkopien bestimmt sind. Diese gefälschten Installationsprogramme werden wohl über eine Malware-as-a-Service-Plattform (MaaS) angeboten, allerdings wurde in einigen Fällen PseudoManuscrypt auch über das berüchtigte Glupteba-Botnet installiert. Nach der Erstinfektion folgt eine komplizierte Infektionskette, über die vermutlich dann das schädliche Hauptmodul heruntergeladen wird.

Die Experten konnten zwei Varianten dieses Moduls identifizieren, die beide fortschrittliche Spyware-Funktionen haben – einschließlich der Protokollierung von Tastatureingaben, dem Kopieren von Daten aus der Zwischenablage, dem Diebstahl von VPN- (und möglicherweise RDP-) Authentifizierungs- und Verbindungsdaten sowie dem Kopieren von Screenshots.
www.kaspersky.de

Diese Produktinformation
ist aus unserem Archiv!

Aktuelle Produkte finden Sie über die Suche ...
gradient arrows

Kaspersky Labs GmbH

Despag-Straße 3
85055 Ingolstadt

Tel: +49 151 54439307
Fax: +49 841 98 189 100

verwandte Produkte