Neuer Tarnkappen-Trojaner missbraucht Webmail-Dienste

BrowserSicherheitSoftwareVirusWorkspaceZusammenarbeit
G Data Logo (Bild: G Data)

Über ein von Hackern eingerichtetes Konto bei Portalen wie Yahoo empfängt IcoScript Steuerbefehle zum Ausführen von Schadcode auf Windows-Rechnern. Der Trojaner nutzt eine eigene Skriptsprache, um sich mit dem Mail-Account zu verbinden. Hierfür klinkt er sich laut G Data zunächst in die COM-Schnittstelle des Internet Explorers ein.

Der Sicherheitsanbieter G Data warnt vor einer neu entdeckten Malware, die bereits seit 2012 Webmail-Portale wie Yahoo und Gmail missbraucht, um unbemerkt per E-Mail Steuerbefehle für die Ausführung von Schadcode auf gekaperten Windows-Rechnern zu übermitteln. Hierfür verbindet sich der Trojaner mit der Bezeichnung Win32.Trojan.IcoScript.A automatisch mit von Hackern eingerichteten E-Mail-Konten. Eine ausführliche G-Data-Analyse dieses modular aufgebauten Fernsteuerungstools wurde unter dem Titel “IcoScript: Using Webmail to control Malware” jetzt im britischen IT-Magazin Virus Bulletin veröffentlicht.

IT_Network_Trojans
G Data warnt Webmail-Nutzer in Unternehmen vor der Tarnkappen-Malware IcoScript, die Steuerbefehle über Portale wie Yahoo oder Gmail erhält (Grafik: G Data).

G Data zufolge injiziert sich der IcoScript-Trojaner nicht – wie sonst bei Malware üblich – in die Prozesse von Anwendungen, da dies durch die Antiviren-Software inzwischen erkannt wird. Stattdessen klinkt er sich in die COM-Schnittstelle (Component Object Model) ein, die von Entwicklern normalerweise verwendet wird, um Plug-ins für den Browser zu erstellen. Das Interface kann laut G Data jedoch auch von Schadcode missbraucht werden, um den Browser zu kompromittieren.

Die Daten, die dabei hinterlegt werden, sehen dem Sicherheitsanbieter zufolge im Netzwerk und auf dem Rechner wie normaler Internet-Traffic aus und können sich so vor dem Nutzer und der Antiviren-Software tarnen. Die IcoScript-Autoren hätten dafür nicht einmal die Netzwerkeinstellungen anpassen müssen.

Der IcoScript-Schädling nistet sich nach Angaben von G Data in den Internet Explorer ein und nutzt eine eigene Skriptsprache, um sich automatisiert bei einem Webmail-Portal wie Yahoo in das von den Hackern präparierte Konto einzuloggen und dort E-Mails auf Steuerbefehle zu überprüfen. Diese werden durch das Skript wiederum an die Malware weitergegeben, um entsprechende Funktionen auf infizierten Windows-Rechnern auszuführen. Über das Mail-Konto können ferner auch Daten aus dem Netzwerk heraus versendet werden. Laut G Data ist IcoScript besonders für Unternehmen gefährlich, da der Zugriff auf Webmail-Dienste in Firmennetzen selten blockiert wird.

“Diese variabel anpassbare Malware, die ihre Aktionen in reguläre Datenströme einnistet, stellt IT-Sicherheitsabteilungen und Abwehrsysteme vor große Schwierigkeiten”, meint Ralf Benzmüller, Leiter der G Data SecurityLabs. “Diese Vorgehensweise ist nicht auf Yahoo beschränkt. Sie eignet sich für viele Webportale wie etwa Gmail, Outlook.com, Web.de, aber auch LinkedIn, Facebook und andere soziale Netzwerke könnten so missbraucht werden.”

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen