Malware Analyse
ESET analysiert Malware-Kampagne auf aktuelle 0Day Windows-Schwachstelle
PowerPool-Malware: Windows Zero-Day Exploit durchleuchtet
Die am 27. August 2018 auf GitHub und Twitter veröffentlichte Zero-Day Schwachstelle für Microsoft Windows Bestriebssysteme wurde nach wenigen Tagen in einer ersten Malware-Kampagne ausgenutzt. ESET hat die Malware-Kampagne einer Gruppe namens PowerPool zugeordnet. Bis jetzt gingen den Cyberkriminellen nur eine kleine Anzahl von Opfern in die Falle, wie sich aus den untersuchten Telemetrie-Daten und den Uploads ergibt. Daher glauben die Security Experten von ESET an einen Testlauf einer Spionagekampagne.
Win7 bis Win10 Betriebssysteme weisen eine 0-Day-Sicherheitslücke auf, die von Microsoft noch nicht geschlossen ist (06.09.18). Malware-Gang missbraucht die Schwachstelle in der ALPC-Funktion
Unter den betroffenen Ländern befinden sich Chile, Deutschland, Indien, die Philippinen, Polen, Russland, das Vereinigte Königreich, die Vereinigten Staaten und die Ukraine. Betroffen sind die Windows Betriebssysteme 7 bis 10 – im Speziellen die ALPC-Funktion (Advanced Local Procedure Call). Die Malware kann durch die entdeckte Lücke Systemrechte erlangen, auch auf eigeschränkten Nutzerkonten. Die Sicherheitslücke wurde bisher noch nicht gepatcht.
ESET Security Specialist Thomas Uhlemann schätzt die Situation wie folgt ein:
„Die entdeckte Schwachstelle ist schwerwiegender als es auf den ersten Blick scheint. Schaffen es Kriminelle, ihre Malware mit Systemrechten auszustatten, ist das als GAU zu bezeichnen. Der aktuelle Exploit-Code ist nicht sehr ausgefeilt. Zum jetzigen Zeitpunkt ist es noch zu früh, um fundierte Aussage über den Hintergrund der Schadcode-Entwickler zu treffen. Es ist aber nicht auszuschließen, dass es sich auch um eine schlecht umgesetzte eSpionage-Kampagne handelt. Bisher liegen uns hierfür jedoch keine Indizien vor. Das heißt aber auch, dass wenn Microsoft die Lücke nicht am kommenden Patchday schließt, ein Restrisiko für Privatanwender und Unternehmen besteht, wenn die Malware-Autoren ihren Code verbessern. Der bisherige Angriff wurde von uns aufgedeckt und entsprechende Schutzmaßnahmen innerhalb unsere Sicherheitslösungen zur Abwehr bereitgestellt. Nutzer von ESET Sicherheitslösungen sind somit von der aktuellen PowerPool-Malware geschützt.“
Die ESET-Security Forscher haben das genaue Vorgehen der Malware-Gruppe, die Schadfunktion und den Infektionsablauf analysiert und auf dem ESET IT-Sicherheitsblog WeLiveSecurity veröffentlicht .