+43 699 / 18199463
office@itexperst.at
Rückrufservice
News
23 Aug 14

PlugX RAT nutzt Dropbox zur Kommunikation mit infizierten Geräten

In einem gezielten Angriff gegen die taiwanesische Regierung nutzt ein Remote Access Trojaner (RAT) Dropbox für die Command-and-Control-Funktionen. Der Malware-Analyst Maersk Menrige von Trend Micro hat den Trojaner analysiert.

Die aktualisierte PlugX RAT-Kampagne ist der erste Angriff, der Dropbox zur Aktualisierung der Command-and-Control-Einstellungen nutzt. Dies unterscheidet die Malware von anderen, die Dropbox bisher hauptsächlich zur Verbreitung schadhafter Dateien verwendeten.

Der Trojaner zeichnet die Tastenanschläge des Opfers sowie Ports auf und öffnet aus der Ferne Zellen für weiteren Datendiebstahl.

Menrige dazu:

„Die Nutzung von Dropbox hilft bei der Tarnung des bösartigen Verkehrs im Netzwerk, da dies ja schließlich eine legitime Webseite zur Speicherung von Dateien und Dokumenten ist.“

Der Forscher Jake Williams hat Dropbox bereits früher einmal als mögliche Plattform für Command-and-Control-Befehle beschrieben, aber dies ist nun das erste Mal, dass es tatsächlich derartig genutzt wurde.

Die zweite Variante von PlugX täuschte die Anti-Viren-Programme und enthielt anti-forensische Fähigkeiten. Außerdem versteckte es sich hinter einer stillgelegten Domain bis zum 05. Mai, an dem sie dann aktiv wurde.

Durch die Bandbreite an Tools zur Geheimhaltung konnten sich die Angreifer weitläufig in infizierten Netzwerken bewegen. Die Malware enthält Passworterkennung, Netzwerk-Einstellungen, Port-Scanner und das verbreitete HTran Reverse Proxy Tool, welche Command-and-Control-Funktionen versteckt.

Das erste Mal wurde diese Variante 2011 durch Dell entdeckt, in Zusammenhang mit dem Vorfall bei RSA. PlugXII hat genügend Ähnlichkeiten mit PlugXI, sodass Sicherheitssysteme die Malware identifizieren könnten.

Die erste Variante wurde 2008 entdeckt und wurde seitdem in gezielten Angriffen auf eine südkoreanische sowie eine US-amerikanische Firma genutzt.

Artikel von theregister.co.uk, 30.06.2014: Dropbox used as command and control for Taiwan time bomb
Artikel von darkreading.com, 27.06.2014: PlugX RAT Armed With ‚Time Bomb‘ Leverages Dropbox In Attack

Posted by: Christian Perst | Kategorie: Allgemein, Hintergrund

Schreiben Sie uns eine Nachricht

* Pflichtfeld

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen