Meldung vom 13. Mai 2020

Sicherheitswarnung: Aktuelle NetWire-Kampagne wird über Excel-Tabellen verbreitet

G DATA Virus-Analysten entdecken neue Angriffswelle

Die Security-Analysten von G DATA CyberDefense warnen vor einer aktuellen Angriffswelle mit dem Remote Access Trojaner (RAT) NetWire. Dazu versenden die Angreifer Spam-Mails mit infizierten Excel-Dokumenten. Einmal im System, übernehmen Cyberkriminelle die administrative Kontrolle des Rechners. Die Angreifer haben dann Zugriff auf persönliche Daten und können Passwörter auslesen. G DATA Kunden sind vor den Angriffen geschützt.

Seit kurzem ist der Remote Access Trojaner (RAT) NetWire sehr aktiv und greift Windows-Systeme an. Die Schadsoftware ist in der Cybercrime-Szene weit verbreitet und bereits seit längerem aktiv.

Karsten Hahn

Anwender sollten bei E-Mails mit Excel-Dokumenten im Anhang höchste Vorsicht walten lassen. Zurzeit nutzen Kriminelle diesen Weg, um den Remote Access Trojaner NetWire zu verbreiten. Wird die Datei geöffnet, aktiviert sich PowerShell und lädt über paste.ee zwei Dateien nach. Eine der Dateien ist eine .NET DLL, welche die zweite Datei, NetWire, mittels Process Injection ausführt. Die Kriminellen können den infizierten Rechner anschließend mit NetWire aus der Ferne steuern und ausspähen. Anwender sind gut vor der NetWire-Kampagne geschützt, wenn sie eine Antiviren-Software installiert haben und regelmäßig aktuelle Updates einspielen. Unsere Technologien Beast und DeepRay erkennen die Malware. Falls PowerShell auf einem Rechner nicht nötig ist, sollte es deaktiviert werden.

Karsten Hahn

Virus Analyst, G DATA CyberDefense

Das macht ein RAT

Die infizierte Excel-Datei enthält Funktionen, die der Anwender erst aktivieren muss. Danach startet der Download der Schadsoftware. (Anklicken für vergrößerte Ansicht)

Mit Remote Access Trojanern (RAT) wie NetWire übernehmen Cyberkriminelle die vollständige administrative Übernahme und Steuerung des infizierten Windows-Computers. Nutzer bemerken davon nichts, sodass das RATs unbemerkt seine schädlichen Funktionen ausführen kann. So spähen die Angreifer beispielsweise persönliche Informationen sowie Passwörter aus oder löschen Dateien. Die so erbeuteten Informationen, zum Beispiel Zugänge zu Onlinebankkonten oder Shops, lassen sich gewinnbringend in speziellen Untergrundmärkten verkaufen.

Für das initiale Laden von NetWire wird ein Powershell-Script verwendet. Powershell ist Bestandteil von Microsoft Windows und wird von vielen IT-Abteilungen eingesetzt, um bestimmte Vorgänge zu automatisieren. Powershell ist an sich also eine legitime Applikation. Sofern Powershell nicht ausdrücklich auf dem System benötigt wird, sollte es deaktiviert werden – die entsprechende Option findet sich in den Windows-Features.

Media:

Meldung vom 13. Mai 2020
zurück zur Übersicht
Meldung vom 13. Mai 2020