Das Threat Research Team von HP Wolf Security veröffentlicht umfassende Erkenntnisse zu einer neuen Malware-Familie namens SVCReady. Die Malware ermöglicht es Angreifern, Systeminformationen auf infizierten Geräten zu sammeln und zu extrahieren, darunter unter anderem die Geräte-Firmware und installierte Software. Ziel der Angreifer ist es, sich langfristig auf kompromittierten Rechnern einzunisten.
Die Malware wurde über eine Phishing-Kampagne verbreitet, die im Anhang eines Microsoft Word-Dokuments versandt wurde. Angreifer waren so in der Lage, Kontrolle über PCs zu übernehmen sowie Shell-Befehle auszuführen, beliebige Dateien herunterzuladen und auszuführen. Beispielsweise wurde SVCReady bereits in Verbindung mit RedLineStealer-Malware eingesetzt – diese Schad-Software wurde als Folge-Nutzlast auf einen Rechner gespielt, der am 26. April mit SVCReady infiziert wurde.
Das HP Team entdeckte SVCReady erstmals Ende April, als die Malware zusammen mit RedLineStealer verbreitet wurde. Seitdem wurde die Malware mehrmals aktualisiert und in einer zunehmenden Anzahl von Malware-Kampagnen eingesetzt. Interessanterweise wird SVCReady mit Shellcode ausgeliefert, der in den Eigenschaften von Microsoft Office-Dokumenten gespeichert ist – anstelle von PowerShell oder MSHTA, die üblicherweise für die Verbreitung von Malware über Office-Dateien verwendet werden.
„Ein paar Dinge in der Malware sind defekt“, erklärt Patrick Schläpfer, Malware Analyst bei HP Wolf Security. „SVCReady befindet sich eindeutig in der Entwicklung und böswillige Akteure haben in den vergangenen Wochen das Netzwerkkommunikationsformat verschlüsselt. Da die Malware weiter verfeinert wird, besteht die Möglichkeit, dass sie in Zukunft zu einem größeren Problem wird. Wir haben einige Ähnlichkeiten in den Dateinamenskonventionen und Köderbildern festgestellt, die mit denen der finanziell motivierten Bedrohungsgruppe TA551 verbunden zu sein scheinen.“
Der Report gibt zudem Aufschluss zu neuen Kampagnen, die SVCReady verwenden sowie zu den Merkmalen der Malware und wie diese sich in den letzten sechs Wochen verändert und weiterentwickelt hat. Der vollständige Bericht ist auf dem HP Wolf Security Threat Blog verfügbar: https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/#
Fachartikel
ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee
Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS
CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen
Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher
Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Aktueller Datenschutzbericht: Risiko XXL am Horizont
Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
