Neuer Trojaner erpresst Windows-Nutzer über Windows PowerShell

Der sogenannte PowerWare-Trojaner sucht bei der Infektion von Computern nicht den Weg über eine .exe-Datei, sondern über einen Missbrauchs der Windows PowerShell. Dabei werden Daten Betroffener gewissermaßen in Geiselhaft genommen. Speziell darauf versierte Sicherheitsforscher Carbon Blacks warnen davor, da eine nicht weiter ausgeführte Gesundheitsorganisation einem so gearteten Angriff zum Opfer fiel.

Zur Einleitung der Infektion wurde eine bekannte methodische Strategie angewandt. Ausgangspunkt ist eine E-Mail, welche gefälscht ist und einer angeblichen Rechnung anhängt, welche in eine angebliche Rechnung im Word-Datei-Format gepackt wurde. Wird das Dokument von einem der Opfer geöffnet und die Makro-Funktion wie von den Angreifern befohlen aktiviert, so wird von Windows die Eingabeaufforderung geöffnet, welche PowerShell startet. Im Anschluss daran wird ein Ransomware-Skript ausgeführt, welches zuvor heruntergeladen wird, wie Kryptologen erläutern.

Diese Art und Weise des Angriffs wird als äußerst raffiniert eingestuft, weil sich der Trojaner so äußerst unauffällig verhält. Die Infektion ereignet sich auf einem berechtigten Windows-Prozess, PowerShell wird ausgenutzt, um gewissermaßen die „Drecksarbeit“ zu machen. Dabei erledigt PowerWare „seine Arbeit“ ohne dabei weitere Dateien herunterzuladen und ohne dabei auf die Festplatte zuzugreifen – dies ist ein Novum in der langen Geschichte von Trojanern. PowerWare dürfte sich auf diese Art und Weise vor Virenprogrammen verstecken können. Zum Schutz wird empfohlen, die Eingabeaufforderung aus Word hinaus zu blockieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.