Das Threat Research Team von Deep Instinct hat eine neue, nicht dokumentierte Malware gefunden, die in der Golang-Programmiersprache entwickelt wurde. + Die Malware wird dem Malwarestamm APT-C-23 (Arid Viper) zugeschrieben und bedroht Windows-Betriebssysteme
Was ist Arid Gopher? Das erklären die Deep Instinct Sicherheitsforscher Simon Kenin, Sicherheitsforscher und Asaf Gilboa: „Das Deep Instinct Threat Research Team beobachtet die Cyber-Bedrohungslandschaft sehr genau und sucht täglich nach Malware. Vor kurzem stieß das Team auf eine ausführbare Datei, die in der Programmiersprache Go geschrieben war. Die identifizierte Datei wurde ursprünglich am 29. Dezember 2021 an VirusTotal übermittelt und wurde nur von sechs Sicherheitsanbietern erkannt. Nach einer ersten Überprüfung wurden zwei weitere ähnliche, in Go geschriebene Dateien gefunden. Bei der Analyse dieser Dateien identifizierte das Team eine bisher unbekannte Variante der Arid-Gopher-Malware; die neue unbekannte Malware ist eine Variante der Micropsia-Malware, die ausschließlich von APT-C-23 (Arid Viper) geschrieben und verwendet wird.
Micropsia und Arid Viper
Dieser Malware-Stamm wurde erstmals im Jahr 2017 von „360 Security“ identifiziert, später aber in Micropsia umbenannt. Diese Malware zielt auf Computer mit Windows-Betriebssystemen ab.
Der Bedrohungsakteur hinter der Micropsia-Malware ist unter dem Namen APT-C-23 oder Arid Viper bekannt. Diese Malware wurde in erster Linie für Angriffe auf den Nahen Osten eingesetzt, wobei ein besonderes Interesse an palästinensischen Zielen bestand. Arid Viper verfügt auch über eine einzigartige Android-Malware, die gegen israelische Ziele eingesetzt wurde. Arid Viper wurde bereits mit der Hamas-Organisation in Verbindung gebracht.
Sowohl die Windows- als auch die Android-Malware-Versionen werden ständig weiterentwickelt. Im April 2021 veröffentlichte Facebook (jetzt Meta) einen Bedrohungsbericht über Arid Viper. In diesem Bericht wurde eine neue iOS-Malware identifiziert, die von APT-C-23 entwickelt wurde. Facebook wies darauf hin, dass der Bedrohungsakteur die Programmiersprache, die er für die Entwicklung der Micropsia-Malware verwendete, ständig änderte und Pascal, Delphi, C++ und sogar Python verwendete.
Was ist Arid Gopher?
Bei der Untersuchung der drei in Go geschriebenen Dateien entdeckte das Sicherheitsteam von Deep Instinct eine neue, in Go geschriebene Variante der Micropsia-Malwarefamilie, die als Arid Gopher bezeichnet wird.
Diese neue Variante befindet sich noch in der Entwicklung; alle drei Dateien haben eine gemeinsame Basis, aber jede Datei enthält einzigartigen Code, der in den anderen Dateien nicht vorhanden ist.
Neben dem Hauptimplantat enthüllte die Deep Instinct Untersuchung eine „Helfer“-Malware, die ebenfalls in Go geschrieben wurde, und eine Malware der zweiten Stufe, die vom C2-Server heruntergeladen wurde.“
Nachfolgend finden Sie eine kurze Analyse aller neu gefundenen Samples und eine ausführliche Analyse: https://www.deepinstinct.com/blog/arid-gopher-the-newest-micropsia-malware-variant
Fazit
Die meisten aktuellen Cybersicherheitsprodukte sind nicht in der Lage, neue Malware und APTs (Advanced Persistent Threats) zu erkennen, da sie sich auf manuell abgestimmte Heuristiken verlassen. Fortschrittlichere Lösungen verwenden manuell ausgewählte Merkmale, die dann in klassische maschinelle Lernmodule eingespeist werden, um die Datei als bösartig oder legitim zu klassifizieren. Mehrere Methoden beruhen auf der Ausführung der Malware in einer Sandbox-Umgebung, um mehr Informationen zu erhalten. Dies ermöglicht zwar eine genauere Erkennung, geht aber auf Kosten des Schutzes, da es sich um einen sehr zeitintensiven Prozess handelt, der die Ausführung von Bedrohungen nicht verhindert.
Deep Instinct verfolgt einen präventiven Ansatz, um Ransomware und andere Malware mit dem weltweit ersten und einzigen speziell entwickelten Deep-Learning Framework für Cybersecurity zu stoppen. Deep Instinct prognostiziert und verhindert bekannte, unbekannte und Zero-Day-Bedrohungen in weniger als 20 Millisekunden, also 750-mal schneller, als die schnellste Ransomware verschlüsseln kann. Deep Instinct hat eine Zero-Day-Genauigkeit von mehr als 99 Prozent und verspricht eine False-positive-Rate von weniger als 0,1 Prozent. Die Deep Instinct Prevention Platform ist eine unverzichtbare Ergänzung für jeden Sicherheitsstack und bietet einen umfassenden, mehrschichtigen Schutz vor Bedrohungen in hybriden Umgebungen. Für weitere Informationen besuchen Sie www.deepinstinct.com.
Fachartikel
Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife
Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal
Was machen Hacker mit ihrem gestohlenen Geld? Die Antwort überrascht
Dateilose Attacke: PowerShell-Loader schleust Remcos RAT ein
Vorsicht, Bücherwurm! Diese iOS-App plaudert über Ihre Lesegewohnheiten
Studien
Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld
Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs
Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart
IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran
Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper
TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor
Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen
Wie die Datenverwaltung Wachstum und Compliance fördert
Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025
Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell
Insider – die verdrängte Gefahr
Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken
Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht
Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
