Share
Beitragsbild zu Threat Research Team von HP Wolf Security: umfassende Erkenntnisse zu neuer Malware-Familie SVCReady

Threat Research Team von HP Wolf Security: umfassende Erkenntnisse zu neuer Malware-Familie SVCReady

Das Threat Research Team von HP Wolf Security veröffentlicht umfassende Erkenntnisse zu einer neuen Malware-Familie namens SVCReady. Die Malware ermöglicht es Angreifern, Systeminformationen auf infizierten Geräten zu sammeln und zu extrahieren, darunter unter anderem die Geräte-Firmware und installierte Software. Ziel der Angreifer ist es, sich langfristig auf kompromittierten Rechnern einzunisten.  

Die Malware wurde über eine Phishing-Kampagne verbreitet, die im Anhang eines Microsoft Word-Dokuments versandt wurde. Angreifer waren so in der Lage, Kontrolle über PCs zu übernehmen sowie Shell-Befehle auszuführen, beliebige Dateien herunterzuladen und auszuführen. Beispielsweise wurde SVCReady bereits in Verbindung mit RedLineStealer-Malware eingesetzt – diese Schad-Software wurde als Folge-Nutzlast auf einen Rechner gespielt, der am 26. April mit SVCReady infiziert wurde.

Das HP Team entdeckte SVCReady erstmals Ende April, als die Malware zusammen mit RedLineStealer verbreitet wurde. Seitdem wurde die Malware mehrmals aktualisiert und in einer zunehmenden Anzahl von Malware-Kampagnen eingesetzt. Interessanterweise wird SVCReady mit Shellcode ausgeliefert, der in den Eigenschaften von Microsoft Office-Dokumenten gespeichert ist – anstelle von PowerShell oder MSHTA, die üblicherweise für die Verbreitung von Malware über Office-Dateien verwendet werden.

„Ein paar Dinge in der Malware sind defekt“, erklärt Patrick Schläpfer, Malware Analyst bei HP Wolf Security. „SVCReady befindet sich eindeutig in der Entwicklung und böswillige Akteure haben in den vergangenen Wochen das Netzwerkkommunikationsformat verschlüsselt. Da die Malware weiter verfeinert wird, besteht die Möglichkeit, dass sie in Zukunft zu einem größeren Problem wird. Wir haben einige Ähnlichkeiten in den Dateinamenskonventionen und Köderbildern festgestellt, die mit denen der finanziell motivierten Bedrohungsgruppe TA551 verbunden zu sein scheinen.“

Der Report gibt zudem Aufschluss zu neuen Kampagnen, die SVCReady verwenden sowie zu den Merkmalen der Malware und wie diese sich in den letzten sechs Wochen verändert und weiterentwickelt hat. Der vollständige Bericht ist auf dem HP Wolf Security Threat Blog verfügbar: https://threatresearch.ext.hp.com/svcready-a-new-loader-reveals-itself/#

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden