Die Hacker haben eine neue Variante der Malware mit dem Namen "PowerLess" entwickelt die nun in der Lage ist, Nutzerdaten aus der Telegram-Desktopanwendung zu stehlen und Screenshots zu machen. Die Malware ist sehr schwer zu erkennen und kann ebenfalls Audio aufzeichnen. Die Analyse dieser neuen Version zeigt » dass die Angreifer beliebte Trends verwenden « um nicht entdeckt zu werden. Dazu gehört die Verwendung von Archivdateien und ISO-Images.
PowerLess-Malware wird weiterentwickelt
Obwohl PowerLess eine bekannte Malware ist, war sie bisher nicht so gefÀhrlich wie jetzt. Eine aktuelle Analyse von Check Point Research zeigt, dass die iranische Hackergruppe Mint Sandstorm (auch bekannt als Phosphorus, APT35, APT42, Charming Kitten und TA453) diese Malware bereits seit einiger Zeit benutzt. Die Sicherheitsexperten haben jedoch festgestellt. Dass FunktionalitÀt der Schadsoftware bisher sehr eingeschrÀnkt war.
Eine Gruppe von Hackern namens "Educated Manticore" hat nun begonnen, Cyber-Angriffe auf hochrangige israelische Ziele zu verĂŒben und dabei auch die PowerLess-Malware verwendet. Diese wurde jedoch signifikant verbessert â indem nicht hĂ€ufig gesehene Techniken eingesetzt wurden.
Educated Manticore verbessert die FunktionalitÀt von PowerLess
Die Gruppe hat das Toolset der Malware durch den Einsatz von ausfĂŒhrbaren .NET-Dateien erheblich verbessert die als Mixed Mode Assembly aufgebaut sind. Dies erhöht die FunktionalitĂ€t des Tools und erschwert eine Analyse und Entdeckung der Malware. Die neue PowerLess-Nutzlast ist deckungsgleich die vorherige Version jedoch die Lademechanismen wurden durch den Einsatz von Techniken die in der freien Wildbahn selten anzutreffen sind, erheblich verbessert. Die neue Version hat weiterhin als doppelt so viele Optionen wie die vorherige Version, einschlieĂlich einer Liste der installierten Programme, einer Ăbersicht der laufenden Prozesse und einer Dateiliste. Die Malware kann nun auch Nutzerdaten aus der Telegram-Desktopanwendung stehlen und Screenshots anfertigen.
Die neu entdeckte Version von PowerLess ist höchstwahrscheinlich fĂŒr Phishing-Angriffe gegen den Irak bestimmt und verwendet eine ISO-Datei um die Infektionskette zu starten. Andere Dokumente in der ISO-Datei waren in hebrĂ€ischer und arabischer Sprache was darauf hindeutet: Die Angriffe sich gegen israelische Ziele richten.
Kommentare
Die verbesserte FunktionalitĂ€t von PowerLess macht es noch schwieriger die Malware zu entdecken und zu entfernen. Die Tatsache, dass Hacker nun ebenfalls auf Telegram-Daten abzielen, zeigt dass jeder der diese Anwendung benutzt gefĂ€hrdet ist. Essenziell bleibt dass Benutzer von Messaging-Apps wie Telegram vorsichtig sind und ihre Sicherheitseinstellungen ĂŒberprĂŒfen um sich vor solchen Angriffen zu schĂŒtzen. Unternehmen sollten auch sicherstellen, dass ihre Mitarbeiter ĂŒber die Risiken von Malware und Phishing-Angriffen aufgeklĂ€rt sind um die Sicherheit ihrer Systeme zu gewĂ€hrleisten.