Malware kommt via Microsoft Defender

(Quelle: Pixabay)

Malware kommt via Microsoft Defender

(Quelle: Pixabay)
2. August 2022 - Cyberkriminelle nutzen Schwachstellen in legitimen Tools wie Microsoft Defender, um auf den Zielsystemen ihre hauseigene Ransomware Lockbit zu installieren.
Sicherheitsforscher von Sentinelone haben eine unangenehme Nebenwirkung von Microsofts Cybersecurity-Lösung Defender entdeckt: Cyberkriminelle nutzen die bekannte Log4j-Schwachstelle, um über das Command Line Tool mpcmdrun.exe von Defender Schadcode zu installieren, genauer gesagt die Malware Cobalt Strike. Cobalt Strike gibt den Angreifern die Kontrolle über das System, sodass sie die Ransomware Lockbit nachladen können. Bei den Angreifern handelt es sich offenbar um die Betreiber des Ransomware-as-a-Services-Dienstes Lockbit.

Dass legitime Tools wie Defender für Cyberangriffe missbraucht werden, ist nicht neu. Laut dem Blogbeitrag von Sentinelone gab es schon im April 2022 einen ähnlichen Fall. Damals nutzten die gleichen Akteure das Vmware-Tool vmwarexferlogs.exe und die Windows Powershell, um ihre Ransomware auf die Zielsysteme zu bringen, auf denen ein ungepatchter VMware-Horizon-Server lief. (ubi)

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER