Trojaner Quant nimmt Kryptowährungen ins Visier
Neue Module des Trojaners suchen nach Geldbörsen für Kryptowährungen sowie den zugehörigen Anmeldedaten. In russischen Untergrundforen kostet Quant inklusive der neuen Module 275 Dollar. Eine neue Tarnfunktion der Malware wird jedoch von einigen Sicherheitsanwendungen bereits erkannt.
Forscher von Forcepoint Security Labs haben eine neue Variante des Trojaners Quant entdeckt. Ein vor kurzem veröffentlichtes Update soll die Malware um einige “beunruhigende” Funktion erweitern. Unter anderem soll sie nun in der Lage sein, die Anmeldedaten für Online-Geldbörsen von Kryptowährungen auszuspähen, um die darin enthaltenen Bitcoins zu stehlen.
Im vergangenen Jahr beschrieben die Forscher Quant als einen simplen Trojaner zur Verteilung der Ransomware Locky und der Malware-Familie Pony. Nun entdeckten die Forscher jedoch ein neues Administrationstool für Quant auf einer neu registrierten Domain sowie die jüngsten Muster der Malware. Sie beziehen nun automatisch zusätzliche Dateien von einem Befehlsserver im Internet.
Die erste Datei namens Bs.dll.c ist ein Cryptocurrency Stealer. Zs.dll.c wiederum hat die Aufgabe, Anmeldedaten zu stehlen und Sql.dll.c ist eine dafür benötigte SQLite-Bibliothek. Der Cryptocurrency Stealer sucht im Anwendungsverzeichnis des Opfers nach unterstützten Geldbörsen (Bitcoin, Terracoin, Peercoin und Primecoin) und verschickt gefundene Daten an die Angreifer. Der Credential Stealer wiederum ist hinter Anmeldedaten für Anwendungen und das Betriebssystem her. Auch er überträgt alle gefundenen Informationen an den Befehlsserver der Hintermänner.
Die Forscher fanden auch heraus, dass Quant in russischen Untergrund-Foren von einem Nutzer namens “MrRaiX” oder “DamRaiX” angeboten wird. Fünf Lizenzen des Trojaners sollen dort derzeit 275 Dollar kosten, inklusive der Module zum Stehlen von Kryptowährungen und Anmeldedaten. Die Module seien aber auch separat erhältlich. Ersteres koste 100 Dollar zuzüglich 15 Dollar pro Update, Letzteres 100 Dollar inklusive aller Updates oder 55 Dollar zuzüglich 15 Dollar pro Update.
Eine weitere Neuerung von Quant sei ein Schlafbefehl, der eine Entdeckung durch Antivirenprogramme sowie eine Analyse in Sandbox-Umgebungen erschweren solle, ergänzten die Forscher. Dieser relativ alte Trick werde aber inzwischen von einigen Sicherheitslösungen erkannt, darunter Kaspersky Internet Security, Panda Firewall, Norton Security, Dr. Web Firewall, Bitdefender und Bullguard.
Darüber hinaus nutze Quant einen ShellExecuteEx genannten Trick, um die Benutzerkontensteuerung von Windows zu umgehen. Unter bestimmten Umständen beziehungsweise in Abhängigkeit von den Einstellungen der Benutzerkontensteuerung sei die Malware in der Lage, höhere Rechte zu erlangen, ohne dass die Benutzerkontensteuerung davor warne. Die Hintermänner von Quant bezeichneten diese Funktion in Anzeigen für die Malware als “Privilege Escalation”.
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.