Der israelische White-Hat-Hacker, der das Tool entwickelt hat, stellt klar, dass das von ihm bereitgestellte Tool nicht für gesetzeswidrige Handlungen konzipiert wurde! Doch eine solche Warnung reicht im Allgemeinen nicht aus, um Angreifer davon abzuhalten, zu Sicherheitszwecken – wie etwa für Penetrationstests – entwickelte Software missbräuchlich zu nutzen, wie G Data bereits früher berichtete. Deshalb erläutern Experten von G Data, was hinter dieser neuen Bedrohung steckt und worauf Nutzer achten müssen:
Der Angriff erfordert Vorbereitung
Die Datei, die zum Ausspähen der Benutzerdaten von Windows Accounts verwendet wird, kann nur lokal auf einem Computer genutzt werden. Sie eignet sich hervorragend für den Einsatz in Domänen-Netzwerkumgebungen, wie sie normalerweise in Unternehmen verwendet werden. Doch auch Privatnutzer und deren Heimcomputer laufen Gefahr, dass ihre Windows Benutzerdaten ausgespäht werden. Etwaige Angreifer können den Hostnamen des Computers statt der Windows Domäne als angeforderten Kontakt festlegen.
Für die lokale Ausführung der Datei benötigen die Angreifer Zugriff auf den angeschlossenen PC, z. B. über eine legitime oder heimlich installierte Fernwartungssoftware (RAT). Aus diesem Grund wird ein derartiger Angriff auch als „Post-Exploitation-Tool“ bezeichnet.
Datei für das Phishing von Benutzerdaten
Die Produkte von G Data erkennen die oben beschriebene Bedrohung als „Win32.Trojan-Stealer.KeyLogger.A“.
Wenn der Angreifer die Datei ausführt, zeigt diese ein Anmeldefenster an, in dem der Anwender aufgefordert wird, seine Benutzerdaten für die gewählte Domäne einzugeben. Die derzeitig eingesetzte Datei kann das Windows Anmeldefenster unabhängig von der eingestellten Systemsprache nur in englischer Sprache anzeigen!
Alle eingegebenen Benutzerdaten aus allen Anmeldeversuchen werden in einer .txt-Datei im temp-Ordner des infizierten Anwenders gespeichert. Das Anmeldefenster wird immer wieder angezeigt, bis die korrekten Benutzerdaten eingegeben werden. Die Datei nutzt alle eingegebenen Benutzerdatenkombinationen für die Anmeldung am Domain Controller, und weiß deshalb, welche Benutzerdaten korrekt sind und welche nicht.
Sobald die korrekten Benutzerdaten eingegeben wurden, hat die Datei die Authentifizierung am Domain-Control-Server erfolgreich überprüft und die Passwortdaten im Klartext in der genannten .txt-Datei gespeichert.
Wie kann die Bedrohung erkannt werden?
Es gibt für den menschlichen Anwender nur begrenzte Möglichkeiten, diese Bedrohung zu erkennen. In vielen Unternehmen ist es nichts Ungewöhnliches, Windows Benutzerdaten für den Zugriff auf bestimmte Netzwerkressourcen eingeben zu müssen. Je nach den Einstellungen des Administrators werden solche Aufforderungen im Laufe des normalen Arbeitstages mehr oder weniger häufig angezeigt.
- Wenn Sie Auffälligkeiten feststellen, beispielsweise in Hinblick auf die Anzahl oder die Intervalle der Aufforderungen zur Eingabe von Benutzerdaten, melden Sie diese bitte dem Administrator vor Ort und lassen Sie Ihren Computer gründlich überprüfen.
- Wenn Sie ein Betriebssystem in einer anderen Sprache als Englisch nutzen, ist ein Anmeldefenster mit englischem Text verdächtig. Geben Sie die angeforderten Informationen nicht ein! Melden Sie diese Auffälligkeiten bitte dem Administrator vor Ort und lassen Sie Ihren Computer gründlich überprüfen.
- Eine aktuelle, umfassende Sicherheitslösung mit Virenscanner, Firewall, Web- und Echtzeitschutz ist ein absolutes Muss! Ein Spam-Filter als Schutz vor ungewollten Spam-Mails ist natürlich ebenfalls sinnvoll.