Alles rund um Windows

Neue Bot-Angriffe bestätigt – Warnung an alle Microsoft Windows-Nutzer

Kurz nachdem Windows 10-, 11- und Server-Benutzer aufgefordert wurden, ein Update durchzuführen, da eine Zero-Day-Sicherheitslücke im Windows-Kernel bestätigt wurde, die in großem Umfang ausgenutzt wurde, wurde eine weitere Reihe von Angriffen gemeldet. Diesmal handelt es sich um die gefährliche Malware zum Diebstahl von Kryptowährungen, von der man annahm, dass sie im Mai im Rahmen der noch andauernden gemeinsamen Sicherheitsaktion „Operation Endgame“ unschädlich gemacht worden sei.

Windows im Visier von DanaBot 669-Angreifer

Viele in der Cybersicherheitsbranche gingen davon aus, dass die Bedrohung durch die DanaBot-Malware, einen bösartigen Trojaner, der an zahlungskräftige Cyberkriminelle vermietet wurde, im Mai nach der Operation Endgame, die die von den Tätern genutzte Infrastruktur zerstörte, ein Ende gefunden hatte. Diese Operation, die gemeinsam von Sicherheitsbehörden in den USA, Großbritannien und Europa durchgeführt wurde, umfasste die Ausstellung von 20 internationalen Haftbefehlen sowie die zweifelsfreie Zerschlagung der kriminellen Kampagne. Aber das war damals, und jetzt ist jetzt.

Es scheint, als sei DanaBot zurückgekehrt, und das mit Nachdruck. Laut Cybersicherheitsforschern von Zscaler, die auf X posteten, "ist Danabot nach einer fast sechsmonatigen Pause nach den Strafverfolgungsmaßnahmen der Operation Endgame im Mai mit der Version 669 wieder aufgetaucht."

Mit einer neu aufgebauten Infrastruktur scheinen sich die Initial Access Broker wieder auf den bewährten Kurs zu begeben. DanaBot-Angriffe umfassen die mittlerweile gängigen und leider auch erwarteten Methoden wie bösartige E-Mails und Malvertising-Kampagnen.

Microsoft-Nutzer sollten ihre Sicherheitstools aktualisieren

Wenn man bedenkt, dass das vorherige DanaBot-Projekt damit endete, dass die Behörden Millionen an gestohlenen Kryptowährungen beschlagnahmten und 16 damit in Verbindung stehende Personen verhaftet und angeklagt wurden, ist es etwas überraschend, dass DanaBot nur sechs Monate später mit einer überarbeiteten Infrastruktur zurückkehrt.

Filipek vermutete, dass dies daran liegen könnte, dass einige Kernmitglieder der Gruppe hinter dem ursprünglichen DanaBot nicht gefasst wurden und sich daher neu formieren konnten, "um mit einer verbesserten Version ihrer Malware wieder aufzutauchen".

Filipek empfahl allen Unternehmen ihre Sicherheitstools um fortschrittliche Netzwerküberwachungs- und Intrusion-Detection-Systeme zu erweitern, um verdächtigen ausgehenden Datenverkehr oder verschlüsselte Kommunikation zu identifizieren.

Nutzer sollten und müssen weiterhin wachsam gegenüber der Gefahr von Phishing-E-Mails und Malvertising-Kampagnen in Suchmaschinen bleiben.