MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung in der Welt der Cyberkriminalität hat das Licht der Öffentlichkeit erblickt: der NonEuclid Remote Access Trojaner (RAT). Diese hochentwickelte Malware, die in C# entwickelt wurde, ermöglicht es Angreifern, Windows-Systeme aus der Ferne zu kontrollieren und dabei fortschrittliche Umgehungstechniken zu nutzen.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Cybersecurity-Welt steht vor einer neuen Herausforderung: NonEuclid, ein Remote Access Trojaner (RAT), der in der Programmiersprache C# entwickelt wurde, hat sich als äußerst raffinierte Malware erwiesen. Diese Bedrohung bietet unbefugten Zugriff auf kompromittierte Windows-Systeme und nutzt dabei fortschrittliche Techniken zur Umgehung von Sicherheitsmaßnahmen. Laut einer technischen Analyse von Cyfirma, die letzte Woche veröffentlicht wurde, umfasst NonEuclid Mechanismen zur Umgehung von Antivirenprogrammen, Privilegieneskalation, Anti-Detektion und sogar Ransomware-Verschlüsselung, die auf kritische Dateien abzielt.
Seit mindestens Ende November 2024 wird NonEuclid in Untergrundforen beworben, wobei Tutorials und Diskussionen über die Malware auf beliebten Plattformen wie Discord und YouTube entdeckt wurden. Dies deutet auf eine konzertierte Anstrengung hin, die Malware als Crimeware-Lösung zu verbreiten. Im Kern beginnt der RAT mit einer Initialisierungsphase für eine Client-Anwendung, gefolgt von einer Reihe von Prüfungen zur Umgehung der Erkennung, bevor ein TCP-Socket für die Kommunikation mit einer bestimmten IP und einem Port eingerichtet wird.
Ein bemerkenswertes Merkmal von NonEuclid ist seine Fähigkeit, Microsoft Defender Antivirus-Ausnahmen zu konfigurieren, um zu verhindern, dass die Artefakte von dem Sicherheitstool erkannt werden. Darüber hinaus überwacht es Prozesse wie “taskmgr.exe”, “processhacker.exe” und “procexp.exe”, die häufig für Analysen und Prozessmanagement verwendet werden. Cyfirma erklärte, dass es Windows-API-Aufrufe (CreateToolhelp32Snapshot, Process32First, Process32Next) verwendet, um Prozesse aufzulisten und zu überprüfen, ob ihre ausführbaren Namen den angegebenen Zielen entsprechen. Wenn eine Übereinstimmung gefunden wird, beendet es je nach AntiProcessMode-Einstellung entweder den Prozess oder löst einen Exit für die Client-Anwendung aus.
Zu den Anti-Analyse-Techniken, die von der Malware übernommen wurden, gehören Prüfungen, um festzustellen, ob sie in einer virtuellen oder sandboxed Umgebung ausgeführt wird. Wenn dies der Fall ist, wird das Programm sofort beendet. Darüber hinaus integriert es Funktionen zur Umgehung der Windows Antimalware Scan Interface (AMSI). Die Persistenz wird durch geplante Aufgaben und Änderungen in der Windows-Registrierung erreicht, während NonEuclid auch versucht, Privilegien zu erhöhen, indem es den Schutz der Benutzerkontensteuerung (UAC) umgeht und Befehle ausführt.
Eine relativ ungewöhnliche Funktion ist die Fähigkeit, Dateien mit bestimmten Erweiterungstypen (z.B. .CSV, .TXT und .PHP) zu verschlüsseln und sie mit der Erweiterung “. NonEuclid” umzubenennen, wodurch sie effektiv zu Ransomware werden. Cyfirma betonte, dass der NonEuclid RAT die zunehmende Raffinesse moderner Malware exemplifiziert, indem er fortschrittliche Tarnmechanismen, Anti-Detektionsfunktionen und Ransomware-Fähigkeiten kombiniert. Die weit verbreitete Werbung in Untergrundforen, Discord-Servern und Tutorial-Plattformen zeigt seine Attraktivität für Cyberkriminelle und unterstreicht die Herausforderungen bei der Bekämpfung solcher Bedrohungen.
Die Integration von Funktionen wie Privilegieneskalation, AMSI-Umgehung und Prozessblockierung zeigt die Anpassungsfähigkeit der Malware bei der Umgehung von Sicherheitsmaßnahmen. Diese Entwicklungen verdeutlichen die Notwendigkeit für Unternehmen, ihre Sicherheitsstrategien kontinuierlich zu aktualisieren und zu verbessern, um solchen Bedrohungen entgegenzuwirken.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "NonEuclid RAT: Eine neue Bedrohung für Windows-Systeme".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "NonEuclid RAT: Eine neue Bedrohung für Windows-Systeme" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "NonEuclid RAT: Eine neue Bedrohung für Windows-Systeme" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.