Vorsicht vor Zyklon Trojaner

Januar 26, 2018 2:29 pm Veröffentlicht von

Kriminelle nutzen Office-Schwachstellen für Malware-Angriffe

 

Das IT-Sicherheitsunternehmen FireEye warnt vor einer neuen Version der seit 2016 bekannten Schadsoftware „Zyklon“. Diese nutzt drei kürzlich geschlossene Sicherheitslücken in Microsoft Office-Anwendungen. Wie Sie Ihren Rechner und Ihr Unternehmen vor einem solchen Angriff schützen können, erfahren Sie in unserem Artikel.

 

Was ist Zyklon?

Bei Zyklon handelt es sich um einen Trojaner, der dazu fähig ist Zugangsinformationen zu stehlen, DDoS-Angriffe durchzuführen, Lizenzschlüssel auszulesen und die Türen für weitere Schadprogramme zu öffnen. Auch soll mit Zyklon das Mining von Kryptowährung möglich sein. Zur Zeit sind vor allem Unternehmen aus dem Finanz-, Telekommunikations- und Versicherungssektor betroffen. Da der Schädling auf dem Schwarzmarkt käuflich zu erwerben ist, lassen sich Angriffe allerdings sehr leicht individualisieren, weswegen eine Verbreitung auf andere Branchen nicht auszuschließen ist.

 

Über Spam-Emails auf den Rechner

Die Hacker verschicken den Trojaner über Emailanhänge, in denen sich ZIP-Archive befinden. Die Emails sind inhaltlich auf den Empfänger zugeschnitten und sollen diesen zum Öffnen der Archive bewegen.
Wird ein ZIP-Archiv geöffnet, dann öffnen sich ebenfalls verschiedene .doc-Dateien, die mindestens eine von drei kürzlich geschlossenen Sicherheitslücken in Microsoft Office ausnutzen.

.NET-Framework
Für die Schwachstelle CVE-2017-8759 im .NET-Framework steht bereits seit September 2017 ein Patch zur Verfügung. Der ursprüngliche Fehler erlaubt in der Einbettungsfunktion OLE ein PowerShell-Script auszuführen und beliebige Dateien herunterzuladen.

Microsoft Equation Editor
Die am November Patchday nach 17 Jahren geschlossene Lücke CVE-2017-11882 ermöglicht es Zyklon, durch das Öffnen einer .doc-Datei ein Dokument herunterzuladen, welches wiederum über einen PowerShell-Befehl (eingebettet in ein OLE-Object) dann weitere Schadsoftware herunterladen kann.

Dynamic Data Exchange (DDE)
Über ein PowerShell-Script wird ebenfalls der dynamische Datenaustausch ausgenutzt. Der eigentlich zur Kommunikation zwischen Anwendungen verwendete DDE bietet Angreifern – auf Grund der Sicherheitslücke – die Möglichkeit, schädlichen Code auszuführen.

 

Flexibler Funktionsumfang

Einmal auf dem Rechner installiert, kann Zyklon Plug-Ins für gängige Browser wie Chrome, Firefox, Safari und Internet Explorer herunterladen, mit welchen sich beispielsweise das Wiederherstellen von Passwörtern ermöglichen lässt, Kryptowährung geschürft werden kann, sowie Lizenzschlüssel ausgelesen werden können. Über diese Plug-Ins kann der Schädling ebenfalls beliebig von den Angreifern erweitert werden. So kann durch Zyklon der infizierte Rechner auch einem Bot-Netzwerk hinzugefügt werden und sich somit für DDoS-Angriffe missbrauchen lassen.

 

Schutz durch Vorsicht und Vorsorge

Malware wie Zyklon zeigt immer wieder, wie wichtig ein aktuelles System und ein umfassender Schutz durch Firewall, Anti-Virus-Software und selbstverständlich Vorsicht bei der Email-Kommunikation für Unternehmens-IT und auch Privatnutzer ist. Viele Unternehmen zögern mit Aktualisierungen ihrer Software, da sie Instabilität durch mögliche Kompatibilitätsprobleme befürchten. Und auch dem aufmerksamsten Mitarbeiter kann in der täglichen Flut an Emails und Informationen einmal ein Fehler passieren. Das nutzen Hacker aus, um ihre Malware zu verbreiten, wodurch nicht selten große Schäden entstehen. Manche Unternehmen verfügen vielleicht auch nicht über eigene IT-Mitarbeiter, die sich um solche Aufgaben kümmern könnten oder fürchten zu hohe Kosten bei Beauftragung eines externen IT-Dienstleisters.

 

Hilfe vom Profi muss nicht teuer sein

Sie sind sich nicht sicher, auf welchem Stand sich Ihre Unternehmens-IT befindet und wie anfällig Ihr System für Cyberangriffe ist? Machen Sie unseren kostenlosen Sicherheits-Check und finden Sie heraus, wie Sie Ihren derzeitigen Schutz verbessern können.

Wir von Kastl & Rieter nehmen uns Zeit für die individuellen Bedürfnisse Ihres Unternehmes und entwickeln für Sie die optimal auf Ihre IT abgestimmte Sicherheitslösung.
Wir kümmern uns um die Aktualisierung Ihrer Software und beantworten Ihnen gerne alle Fragen zum Thema Unternehmens-IT.

Und sollte es einmal zum Ernstfall kommen, dann zögern Sie nicht, unsere Soforthilfe in Anspruch zu nehmen.

Kontaktieren Sie uns! Rufen Sie uns an ( 0221 / 630 6151 60 ) oder nutzen Sie unser Kontaktformular.

Wir freuen uns darauf, Ihnen mit Rat und Tat zur Seite stehen zu dürfen!

 

 

Quellen:

2-spyware

zdnet