Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Cyberkriminelle erkennen jetzt Virtuelle Maschinen

Virtuelle Maschinen (VM) haben die IT in den letzten Jahrzehnten revolutioniert, zu einer besseren Auslastung von Servern geführt und bilden die Basis der meisten Cloud-Angebote.

Nicht zuletzt sind sie bei IT-Sicherheitsexperten beliebt, weil sie die Rechenprozesse von der Hardware abstrahieren und beispielsweise ein Virus, das eine VM befallen hat, nicht ohne Weiteres die zugrundeliegende Hardware infiziert. IT-Security-Experten und Sandboxing-Lösungen nutzen auch deshalb gerne VM. Entsprechend haben Cyberkriminelle in den letzten Jahren nachgerüstet und Malware entwickelt, die VM erkennen kann, indem sie zum Beispiel die Registry Keys identifiziert, die typisch sind für VMware oder Virtual Box. Viele Malware-Familien verfügen inzwischen über derartige Anti-VM-Funktionen.

Bei Cyberattacken, die über den Webbrowser der Opfer laufen und beispielsweise die Eingaben von Kreditkartendaten abgreifen (Credit Card Skimmer), war eine Anti-VM-Funktion bisher unüblich. Das Threat Intelligence Team von Malwarebytes hat jetzt aber Cyberattacken identifiziert, die die „Magecart“-Malware zum Abgreifen von Daten nutzen und sich gegen die Entdeckung durch IT-Security-Experten und Sandboxing-Lösungen wehren, indem sie kontrollieren, dass die Anwender keine VM verwenden.

Magecart ist eine Form von Malware, die Online-Shops und eCommerce-Plattformen infiziert. Es ist eine der am häufigsten genutzten Arten von Malware, um Kreditkartendaten von Kunden zu stehlen. Deshalb ist diese Entwicklung besonders besorgniserregend.

Hat die neue Magecart-Variante die Plattform eines Online-Shops infiltriert, prüft sie den Code des Browsers der Kunden auf das Vorhandensein der Wörter „swiftshader“, „llvmpipe“ und „virtualbox“. Google Chrome verwendet SwiftShader, während Firefox sich auf llvmpipe als Renderer verlässt. Durch diese browserinterne Prüfung können die Cyberkriminellen nahezu sicher sein, dass sie es nicht mit einem IT-Sicherheitsexperten auf der Suche nach Malware oder einer Sandboxing-Lösung zu tun haben.

 

 

Teaserfoto: © Adobe Stock/Urupong