Die Security-Experten von
Proofpoint haben eine neuartige und verschleierte Backdoor-Malware entdeckt. Die "Sosano" genannte Schadsoftware verwendet polyglotte Techniken, um ihre eigentliche Absicht zu verschleiern und unbemerkt in Zielsysteme einzudringen. Polyglotte Dateien sind so strukturiert, dass sie von verschiedenen Programmen unterschiedlich interpretiert werden können, was den Angreifern eine effektive Tarnung schädlicher Komponenten ermöglicht. Einmal eingedrungen, können Kriminelle eine Backdoor installieren, um heimlich und unbemerkt auf einen kompromittierten Rechner zuzugreifen.
Die Schadsoftware kam im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz, bei der die Angreifer kompromittierte E-Mail-Konten und massgeschneiderte Nachrichten nutzten, um das Vertrauen der Empfänger zu gewinnen. Die Cyberkriminellen nutzten ZIP-Dateien, die wiederum polyglotte Dateien enthielten, um den bösartigen Inhalt zu verschleiern und die Erkennung zu erschweren.
In diesem von
Proofpoint aufgedecktem Fall kombinierten die Angreifer die Dateiformate XLS und PDF, um die Malware auszuführen und die Tarnung zu bewahren. Die Angriffskette beginnt mit einer manipulierten Verknüpfungsdatei (.ink), die ein Skript ausführt, um polyglotte Dateien zu laden, die schliesslich die eigentliche Schadsoftware installieren. Die in Golang geschriebene Malware ermöglicht es dem Angreifer, über einen Command-and-Control-Server (C2-Server) Befehle auszuführen, Daten zu stehlen und zusätzliche Schadsoftware zu installieren.
Den vollständigen Bericht über Sosano ist an
dieser Stelle auffindbar. Um sich dafor zu schützen, verweisen die Cybersecurity-Experten auf die üblichen Schutzmassnahmen: Alle Systeme aktuell halten und Dateianhänge nur von bekannten und sicheren Quellen herunterladen.
(dok)
