Hacker nutzen Windows-Update-Client für Malware-Verbreitung
Quelle: Pixabay

Hacker nutzen Windows-Update-Client für Malware-Verbreitung

Sicherheitsforschern von Malwarebytes zufolge wird derzeit der Windows-Update-Client genutzt, um auf den angegriffenen Rechnern Malware zu platzieren.
30. Januar 2022

     

Eine von Nordkorea unterstützte Hackergruppe namens Lazarus soll die Windows-Update-Routine für die Verbreitung von Malware nutzen und den Client auf die Liste der Living-off-the-Land-Binärdateien gesetzt haben, so ein Bericht von "Bleeping Computer". Entdeckt wurde die Verbreitungsmethode von den Sicherheitsforschern von Malwarebytes, als eine Spearphishing-Kampagne untersucht wurde, die sich als das US-Luftfahrtunternehmen Lockheed Martin ausgab. Nachdem ein Opfer auf den schadhaften Anhang geklickt und die Makro-Ausführung aktiviert hat, wird ein File namens WindowsUpdateConf.lnk im Autostart-Ordner sowie eine DLL-Datei namens wuaueng.dll in einem versteckten Verzeichnis im System32-Ordner platziert. In einem nächsten Schritt startet die lnk-Datei sodann den Windows-Update-Client und veranlasst ihn, die schädliche DLL zu laden.


Wie die Malwarebytes-Experten festhalten, ermöglicht die Nutzung des Windows-Update-Clients die Umgehung von Sicherheitsmechanismen, womit ein Angriff möglichwerweise unentdeckt bleibt. Die Lazarus-Gruppe, die den Angriffsvektor nutzt, ist im Übrigen kein unbeschriebenes Blatt und soll im Jahr 2017 die weltweite Wannacry-Ransomware-Angriffswelle koordiniert haben. (rd)


Weitere Artikel zum Thema

Hacker verbreiten Ransomware über Printnightmare-Lücke

16. August 2021 - Die Sicherheitslücken im Windows-Druckerspooler werden derzeit aktiv von Hackern ausgenutzt, um Ransomware auf den Zielrechnern einzuschleusen. Admins sollten die zur Verfügung stehenden Patches schnellstens aufspielen.

Wannacry weiterhin aktiv

13. Mai 2020 - Auch drei Jahre nach dem ersten Auftauchen marodiert die Ransomware Wannacry immer noch durch die IT-Welt. Mitschuldig sind über eine Million nicht gepatchte Systeme.

Ransomware Wannacrypt hält Welt in Atem

14. Mai 2017 - Weltweit sollen mehr als 100'000 Rechner von der Ransomware Wanncry beziehungsweise Wannacrypt betroffen sein, die ein Leck nutzt, das von der NSA entdeckt und verwendet wurde. Die Schweiz ist offenbar glimpflich davongekommen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER