Contact
QR code for the current URL

Story Box-ID: 1197256

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Ms Felicitas Kraus +49 30 3030808914
Company logo of 8com GmbH & Co. KG

Byakugan-Malware: Virus per pdf

Die neue Byakugan-Malware stiehlt Daten, erlaubt Hackern Fernzugriff und spioniert infizierte Rechner aus. Verbreitet wird der Virus per pdf – über eine vermeintlich eingebettete Bilddatei.

(PresseBox) (Neustadt an der Weinstraße, )
Wer Dokumente verschicken will, nutzt oftmals das Dateiformat pdf, da es im Gegensatz zu offenen Dateien wie Word oder Excel als sicherer gilt und daher weniger oft im Spamfilter hängen bleibt. Doch auch pdfs können mit Malware kompromittiert sein, wie aktuelle Fälle zeigen, über die u.a. Sicherheitsforscher von Fortinet berichten.

Bereits im Januar entdeckten die Forscher eine pdf-Datei, die in portugiesischer Sprache verfasst war, und die Malware Byakugan verbreitet hat. Dafür nutzen die Kriminellen eine verschwommene Bilddatei mit der Aufforderung, die lesbare Datei per Klick auf einen Link herunterzuladen. Natürlich führt der Link nicht zum gewünschten Inhalt, sondern zu einer Downloader-Datei mit dem Namen require.exe. Anschließend wird ein Installer über den Ordner Temporäre Dateien heruntergeladen, gefolgt von einer DLL-Datei, die require.exe dazu bringt, das Hauptmodul der Malware herunterzuladen.

Byakugan ist eine node.js-basierte Malware, die OBS Studio verwendet, um den Desktop des Ziels zu überwachen und verschiedene Funktionen auszuführen. Sie verfügt über mehrere Bibliotheken, darunter einen Bildschirm-Monitor, Miner, Keylogger.

Darüber hinaus kann Byakugan Downloads von beliebten Minern wie Xmrig, t-rex und NBMiner durchführen. Er speichert auch Daten im kl-Ordner und kann Informationen über Cookies, Kreditkarten, Downloads und automatisch ausgefüllte Profile stehlen, wie die Forscher berichten

Byakugan verfügt auch über Anti-Analyse-Funktionen, z. B. gibt er vor, ein Speichermanager zu sein, und setzt den Pfad auf den Ausschlusspfad des Windows Defender. Außerdem legt er eine Taskplaner-Konfigurationsdatei im Defender-Ordner ab, sodass er beim Starten automatisch ausgeführt wird.

Auch das AhnLab Security Center (ASEC) berichtet über einen ähnlichen Fall, in dem ein Infostealer per pdf in Portugiesisch verbreitet wurde. Das Opfer wurde hier aufgefordert, den Acrobat Reader herunterzuladen. Der enthaltene Link führt jedoch auch in diesem Fall nicht zum Ziel, sondern zu einer Malware-Datei mit dem Namen Reader_Install_Setup.exe. Außerdem werden zwei bösartige Dateien erstellt und eine Windows-Systemdatei namens msdt.exeals als Administrator ausgeführt, wobei er die bösartige BluetoothDiagnosticUtil.dll und die bösartige DLL-Datei lädt. Durch DLL-Hijacking kann der Angreifer die User Account Control (UAC) umgehen.

Derartige Bedrohungen zu erkennen, wird dadurch erschwert, weil die Hintermänner sowohl saubere als auch bösartige Komponenten in ihrer Malware verwenden. Um sich vor Phishing-Angriffen und trügerischer Malware zu schützen, müssen Benutzer daher beim Öffnen ihrer E-Mails vorsichtig sein und die Legitimität des Absenders überprüfen. Außerdem sollten sie sichere Passwörter und eine Zwei-Faktor-Authentifizierung verwenden, ihre Software auf dem neuesten Stand halten und bevorzugt Sicherheitssoftware installieren, die Phishing-E-Mails und Malware erkennen und blockieren kann. Vermieden werden sollte es auch, auf Links zu klicken oder Anhänge aus verdächtigen E-Mails herunterzuladen. Im Zweifelsfall lohnt es sich, den vermeintlichen Absender zu kontaktieren und nachzufragen.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.