MÜNCHEN (IT BOLTWISE) – In einer neuen Entwicklung im Bereich der Cybersicherheit haben Forscher eine bisher unbekannte Malware namens WezRat identifiziert, die von iranischen staatlich unterstützten Akteuren eingesetzt wird, um israelische Organisationen anzugreifen.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Cybersicherheitsfirma Check Point hat kürzlich die Entdeckung einer neuen Malware bekannt gegeben, die von iranischen Hackern entwickelt wurde, um gezielte Angriffe auf israelische Organisationen durchzuführen. Diese Malware, bekannt als WezRat, ist ein Remote-Access-Trojaner und Informationsdieb, der seit mindestens dem 1. September 2023 im Umlauf ist. Die Malware wurde erstmals durch Artefakte auf der Plattform VirusTotal entdeckt.
WezRat ist in der Lage, eine Vielzahl von bösartigen Aktivitäten auszuführen, darunter das Ausführen von Befehlen, das Aufnehmen von Screenshots, das Hochladen von Dateien, das Keylogging und das Stehlen von Inhalten aus der Zwischenablage sowie von Cookie-Dateien. Diese Funktionen werden teilweise durch separate Module ermöglicht, die von einem Command-and-Control-Server (C&C) in Form von DLL-Dateien abgerufen werden, was die Hauptkomponente des Backdoors weniger verdächtig erscheinen lässt.
Die Malware wird der Gruppe Cotton Sandstorm zugeschrieben, die auch unter den Namen Emennet Pasargad und Aria Sepehr Ayandehsazan (ASA) bekannt ist. Die Malware wurde erstmals Ende letzten Monats von US-amerikanischen und israelischen Cybersicherheitsbehörden dokumentiert, die sie als ein „Exploitation-Tool zur Informationsbeschaffung und zum Ausführen von Remote-Befehlen“ beschrieben haben.
Die Angriffe erfolgen über manipulierte Google Chrome-Installer, die neben der Installation des legitimen Browsers auch eine zweite Binärdatei namens „Updater.exe“ ausführen. Diese ausführbare Datei ist darauf ausgelegt, Systeminformationen zu sammeln und eine Verbindung zu einem C&C-Server herzustellen, um weitere Anweisungen abzuwarten.
Check Point hat beobachtet, dass WezRat über Phishing-E-Mails verbreitet wird, die sich als Mitteilungen der israelischen Nationalen Cyberdirektion ausgeben. Diese E-Mails, die am 21. Oktober 2024 versendet wurden, forderten die Empfänger auf, dringend ein Chrome-Sicherheitsupdate zu installieren. Die Malware wird mit zwei Parametern ausgeführt: einem C&C-Server und einer Zahl, die als ‚Passwort‘ dient, um die korrekte Ausführung des Backdoors zu ermöglichen.
Die Entwicklung von WezRat zeigt eine kontinuierliche Investition in die Aufrechterhaltung eines vielseitigen und schwer zu entdeckenden Werkzeugs für Cyber-Spionage. Die Aktivitäten von Emennet Pasargad richten sich gegen verschiedene Entitäten in den USA, Europa und dem Nahen Osten und stellen eine Bedrohung nicht nur für direkte politische Gegner dar, sondern auch für jede Gruppe oder Einzelperson, die Einfluss auf Irans internationale oder nationale Narrative hat.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.