Hacker verstecken Remote Management Software in Minesweeper-Code
Cyberkriminelle aus Russland nutzen Python-Code eines Minesweeper-Klons, um Skripts zum Download einer Remote Management Software zu verstecken. Mit dieser Methode haben es die Gauner vor allem auf Finanzinstitute abgesehen.
Das Computer Emergency Response Team der Ukraine (CERT-UA) warnt vor einem Trojaner, den eine russische Hackergruppe in Umlauf bringt. Wie das CERT-UA auf seiner Webseite schreibt, hat es die Gruppierung mit der Kennzeichnung UAC-0188 mit diesem spezifischen Trojaner auf europäische und US-amerikanische Finanzinstitute abgesehen.
Der Trojaner versteckt Python-Code, durch den das Superops-RMM-Programm installiert wird. Bei der Software handelt es sich um eine eigentlich legitime Remote Management Software. Kriminelle missbrauchen die Software jedoch, um sich Zugriff auf Computer des angegriffenen Institutes zu verschaffen. Versteckt ist der schädliche Code in einem Python-Klon des Computerspiels Minesweeper.
Die Angriffe beginnen oft mit einer E-Mail von der Adresse "support@patient-docs-mail.com", wie "Bleeping Computer" schreibt. Die Gauner geben sich als "Personal Web Archive of Medical Documents" aus und verleiten Opfer zum Download einer 33 Megabyte grossen .scr-Datei über einen Dropbox-Link. Durch den Minesweeper-Code in der Datei erkennen Security Softwares den schädlichen Code mit dem Superops-RMM-Installer oft nicht. Bei Ausführung der Datei installiert sie Superops RMM auf dem Gerät und gibt dadurch Hackern Zugriff auf ebendieses.
Das CERT-UA rät potenziell betroffenen Organisationen, auf Aktivitäten mit den Domains ".superops.com" und ".superops.ai" zu achten, wenn das Unternehmen selbst Superops RMM nicht nutzt. Zudem sollen Unternehmen regelmässige Updates für Antivirenprogramme durchführen und wichtige Daten in einem Back-up sichern.
Hacker nutzen übrigens auch IoT-Geräte als trojanische Pferde. Mehr zu diesem Thema lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
KI-Agent hackt KI-Plattform von McKinsey
Warum man besser nicht zum Klassentreffen geht
38 Jahre Sicherheitsdenken
Jason feiert Lieblingstag
3 von 4 Sicherheitsexpertinnen halten Cybersecurity für eine frauenfreundliche Karriere
Scammer treffen auf niederländische Direktheit und landen am Pranger
Einladung zum Webinar: Alarmflut, Fachkräftemangel, fehlende Controls – so hilft MDR
Update: Bechtles Index für digitale Souveränität kommt auf den Markt
SAP schliesst kritische Sicherheitslücken
