Wie jüngst bekannt wurde haben Sicherheitsforscher eine neue Variante des gefährlichen Banking-Trojaners CoreBot identifiziert. Die Schadsoftware hatte die Finanzwelt bereits im Sommer 2015 aufgeschreckt. Hauptanliegen des Schädlings ist es, die Kommunikation mit Banken und Finanzdienstleistern abzufangen, um so an PINs, TANs und andere sensible Daten zu gelangen, mit denen Transaktionen manipuliert werden können. Die neue CoreBot-Variante wird laut Deep Instinct über Spam-E-Mails mit infizierten Office-Dokumenten als Anhängen verbreitet. Sobald die ahnungslosen Empfänger die vermeintliche Rechnung öffnen, wird der Payload heruntergeladen und ausgeführt. Ein Kommentar von Tony Rowan, Chief Security Consultant von Sentinelone.
„Dass die CoreBot-Malware ein Comeback erlebt, ist nichts Ungewöhnliches, sondern eher die Norm. Wenn ein Schadcode Cyberkriminelle einmal zum Erfolg geführt hat, warum sollte das dann nicht noch ein zweites Mal gelingen? Letztlich ist die Wiederverwendung eines alten Codes auch viel praktischer und billiger. Die hunderttausend neuen Malware-Varianten, die wir jeden Tag identifizieren, sind in Wirklichkeit gar nicht neu, sondern in der Regel nur Varianten alter Versionen. Um einen „alten“ Schädling wie CoreBot wieder erfolgreich aufleben zu lassen, müssen die Angreifer lediglich die wichtigsten Indicators of Compromise (IoC), die ihn identifizierbar machen, abändern. Sobald Signatur sowie Command- und Control-Struktur modifiziert wurden, ist die Malware wieder einsatzfähig. Der Aufwand hierfür ist – im Vergleich zur Entwicklung einer völlig neuen Schadsoftware – eher unbedeutend.
Das Gefährliche ist nun, dass herkömmliche Cybersicherheits-Lösungen im Kampf gegen diese modifizierten Malware-Varianten so gut wie machtlos sind. Vielmehr bedarf es hier eines umfassenden Sicherheitsansatzes, der die Prävention, Erkennung, automatische Abwehr sowie natürlich forensische Werkzeuge, die eine detaillierte Analyse aller schädlichen Modifikationen ermöglicht, vereint. Auch eine spezielle Sicherheitsgarantie oder -versicherung kann in manchen Fällen sinnvoll sein. Idealerweise, so empfiehlt Gartner, greifen Unternehmen dabei auf Lösungen zurück, die all diese Funktionalitäten in einer einzigen Plattform bereitstellen.“
#Netzpalaver #SentinelOne
