Hacker nutzen Windows-Update-Client für Malware-Verbreitung

(Quelle: Pixabay)

Hacker nutzen Windows-Update-Client für Malware-Verbreitung

(Quelle: Pixabay)
30. Januar 2022 - Sicherheitsforschern von Malwarebytes zufolge wird derzeit der Windows-Update-Client genutzt, um auf den angegriffenen Rechnern Malware zu platzieren.
Eine von Nordkorea unterstützte Hackergruppe namens Lazarus soll die Windows-Update-Routine für die Verbreitung von Malware nutzen und den Client auf die Liste der Living-off-the-Land-Binärdateien gesetzt haben, so ein Bericht von "Bleeping Computer". Entdeckt wurde die Verbreitungsmethode von den Sicherheitsforschern von Malwarebytes, als eine Spearphishing-Kampagne untersucht wurde, die sich als das US-Luftfahrtunternehmen Lockheed Martin ausgab. Nachdem ein Opfer auf den schadhaften Anhang geklickt und die Makro-Ausführung aktiviert hat, wird ein File namens WindowsUpdateConf.lnk im Autostart-Ordner sowie eine DLL-Datei namens wuaueng.dll in einem versteckten Verzeichnis im System32-Ordner platziert. In einem nächsten Schritt startet die lnk-Datei sodann den Windows-Update-Client und veranlasst ihn, die schädliche DLL zu laden.

Wie die Malwarebytes-Experten festhalten, ermöglicht die Nutzung des Windows-Update-Clients die Umgehung von Sicherheitsmechanismen, womit ein Angriff möglichwerweise unentdeckt bleibt. Die Lazarus-Gruppe, die den Angriffsvektor nutzt, ist im Übrigen kein unbeschriebenes Blatt und soll im Jahr 2017 die weltweite Wannacry-Ransomware-Angriffswelle koordiniert haben. (rd)

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
SPONSOREN & PARTNER