Sicherheitswarnung: Aktuelle NetWire-Kampagne wird über Excel-Tabellen verbreitet

Sicherheitswarnung: Aktuelle NetWire-Kampagne wird über Excel-Tabellen verbreitet

Sicherheitswarnung: Aktuelle NetWire-Kampagne wird über Excel-Tabellen verbreitet

G DATA Virus-Analysten entdecken neue Angriffswelle

Die Security-Analysten von G DATA CyberDefense warnen vor einer aktuellen Angriffswelle mit dem Remote Access Trojaner (RAT) NetWire. Dazu versenden die Angreifer Spam-Mails mit infizierten Excel-Dokumenten. Einmal im System, übernehmen Cyberkriminelle die administrative Kontrolle des Rechners. Die Angreifer haben dann Zugriff auf persönliche Daten und können Passwörter auslesen. G DATA Kunden sind vor den Angriffen geschützt.

Seit kurzem ist der Remote Access Trojaner (RAT) NetWire sehr aktiv und greift Windows-Systeme an. Die Schadsoftware in der Cybercrime-Szene weit verbreitet und bereits seit längerem aktiv.

„Anwender sollten bei E-Mails mit Excel-Dokumenten im Anhang höchste Vorsicht walten lassen. Zurzeit nutzen Kriminelle diesen Weg, um den Remote Access Trojaner NetWire zu verbreiten. Wird die Datei geöffnet, aktiviert sich PowerShell und lädt über paste.ee zwei Dateien nach. Eine der Dateien ist eine .NET DLL, welche die zweite Datei, NetWire, mittels Process Injection ausführt. Die Kriminellen können den infizierten Rechner anschließend mit NetWire aus der Ferne steuern und ausspähen. Anwender sind gut vor der NetWire-Kampagne geschützt, wenn sie eine Antiviren-Software installiert haben und regelmäßig aktuelle Updates einspielen. Unsere Technologien Beast und DeepRay erkennen die Malware. Falls PowerShell auf einem Rechner nicht nötig ist, sollte es deaktiviert werden“, erklärt Karsten Hahn, Virus Analyst bei G DATA CyberDefense.

 

Das macht ein RAT

Mit Remote Access Trojanern (RAT) wie NetWire übernehmen Cyberkriminelle die vollständige administrative Kontrolle und Steuerung des infizierten Windows-Computers. Nutzer bemerken davon nichts, sodass das RATs unbemerkt seine schädlichen Funktionen ausführen kann.

So spähen die Angreifer beispielsweise persönliche Informationen sowie Passwörter aus oder löschen Dateien. Die so erbeuteten Informationen, zum Beispiel Zugänge zu Onlinebankkonten oder Shops, lassen sich gewinnbringend in speziellen Untergrundmärkten verkaufen.

Für das initiale Laden von NetWire wird ein Powershell-Script verwendet. Powershell ist Bestandteil von Microsoft Windows und wird von vielen IT-Abteilungen eingesetzt, um bestimmte Vorgänge zu automatisieren. Powershell ist an sich also eine legitime Applikation. Sofern Powershell nicht ausdrücklich auf dem System benötigt wird, sollte es deaktiviert werden – die entsprechende Option findet sich in den Windows-Features.

Quelle: Pressemeldung G DATA CyberDefense AG

 

Image by Susanne from Pixabay
Über Volker 1403 Artikel
Volker ist ein erfahrener Experte auf dem Gebiet der Digitalisierung und Smart-Technologie. Mit seiner langjährigen Erfahrung und seinem fundierten Fachwissen ist er ein vertrauenswürdiger Autor für Digital-Smartness.de. Seine Leidenschaft für innovative Technologien und sein Engagement für qualitativ hochwertige Inhalte spiegeln sich in seinen Beiträgen wider. Volker ist bestrebt, seinen Lesern fundierte Einblicke und praktische Tipps zu bieten, um ihnen dabei zu helfen, das Beste aus der digitalen Welt herauszuholen. Mit Volker als Autor können die Leser sicher sein, dass sie verlässliche und relevante Informationen erhalten, um ihre digitalen Fähigkeiten und ihr Verständnis kontinuierlich zu verbessern.