Hacker verstecken Remote Management Software in Minesweeper-Code

Das Computer Emergency Response Team der Ukraine (CERT-UA) warnt vor einem Trojaner, den eine russische Hackergruppe in Umlauf bringt. Wie das CERT-UA auf seiner Webseite schreibt, hat es die Gruppierung mit der Kennzeichnung UAC-0188 mit diesem spezifischen Trojaner auf europäische und US-amerikanische Finanzinstitute abgesehen.

Der Trojaner versteckt Python-Code, durch den das Superops-RMM-Programm installiert wird. Bei der Software handelt es sich um eine eigentlich legitime Remote Management Software. Kriminelle missbrauchen die Software jedoch, um sich Zugriff auf Computer des angegriffenen Institutes zu verschaffen. Versteckt ist der schädliche Code in einem Python-Klon des Computerspiels Minesweeper. 

Die Angriffe beginnen oft mit einer E-Mail von der Adresse "support@patient-docs-mail.com", wie "Bleeping Computer" schreibt. Die Gauner geben sich als "Personal Web Archive of Medical Documents" aus und verleiten Opfer zum Download einer 33 Megabyte grossen .scr-Datei über einen Dropbox-Link. Durch den Minesweeper-Code in der Datei erkennen Security Softwares den schädlichen Code mit dem Superops-RMM-Installer oft nicht. Bei Ausführung der Datei installiert sie Superops RMM auf dem Gerät und gibt dadurch Hackern Zugriff auf ebendieses. 

Das CERT-UA rät potenziell betroffenen Organisationen, auf Aktivitäten mit den Domains ".superops.com" und ".superops.ai" zu achten, wenn das Unternehmen selbst Superops RMM nicht nutzt. Zudem sollen Unternehmen regelmässige Updates für Antivirenprogramme durchführen und wichtige Daten in einem Back-up sichern. 

Hacker nutzen übrigens auch IoT-Geräte als trojanische Pferde. Mehr zu diesem Thema lesen Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.