Ein getarnter Malware-Strang aus der „Mirai“-Botnet-Familie hat die Aufmerksamkeit der IT-Forscher von Fortinet geweckt. Das Botnet nennen sie „Gayfemboy“. Es greift Schwachstellen in Produkten von Cisco, DrayTek, Raisecom und TP-Link an. Die Malware hat einige interessante Eigenschaften.

Der Analyse von Fortinet zufolge stießen die Analysten im Juli auf ein Malware-Sample, das mehrere Schwachstellen missbrauchen kann. Die „Gayfemboy“-Kampagne ist in mehreren Ländern aktiv – Brasilien, Deutschland, Frankreich, Israel, Mexiko, der Schweiz, USA und Vietnam. Die attackierten Branchen umfassen etwa verarbeitende Industrie, Technologie, Baugewerbe, Medien und Kommunikation. Von den kontaktierten Adressen konnten sie bösartige Downloader-Skripte, Gayfemboy-Malware sowie XMRig-Coin-Miner herunterladen. Die Downloader-Skripte enthalten Hersteller- und Produktnamen wie „asus“, „vivo“, „zyxel“ oder „realtek“, die diese dann auch als Parameter in Anfragen nutzen.

Tarnen und täuschen

Das untersuchte Sample war mit dem UPX-Packer gepackt, dessen Header „UPX!“ jedoch durch nicht-druckbare Zeichen in Hexadezimalcode „10 F0 00 00“ ersetzt wurde – das soll die einfache Entdeckung verhindern. Nach der Ausführung untersucht die Malware die Pfade jedes Prozesses in „/proc/[PID]/exe“, um Informationen zu laufenden Prozessen und deren Orte im Dateisystem herauszufinden. Dort sucht die Malware nach bestimmten Schlüsselworten, die mit anderer Malware in Verbindung stehen – und beendet die Prozesse, um konkurrierende Infektionen zu entfernen.

Vier Hauptfunktionen hat Gayfemboy: Monitor, Watchdog, Attacker und Killer. Monitor überwacht Threads und Prozesse. Es lässt 47 Strings zu Befehlen in den Speicher und scannt alle Einträge in „/proc/[PID]/cmdline“. Sofern eine Übereinstimmung vorliegt, beendet es den zugehörigen Prozess. Zu diesen Befehlen gehören etwa „ls -l“, „reboot“, „wget“ und viele weitere. Monitor dient dem Selbsterhalt und der Sandbox-Erkennung. Wenn Gayfemboy erkennt, dass der Malware-Prozess beendet wurde, startet er ihn neu. Durch ein Delay von 50 Nanosekunden erkennt die Malware eine Sandbox – die kann mit so einem feingranuliertem Delay nicht umgehen, wodurch die aufgerufene Funktion fehlschlägt und die Malware das Ergebnis „fehlinterpretiert“ und einen 27-stündigen Schlaf des Schädlings aktiviert.

Die Watchdog-Funktion registriert den UDP-Port 47272. Schlägt das fehl, nimmt die Malware an, dass eine andere Instanz des Watchdogs bereits läuft. Dann verbindet sie den Port auf localhost (127.0.0.1:47272) und sendet ein Paket mit der Angabe des Zeitstempels und der PID. Sendet die Malware diese Nachricht mehr als neunmal, ohne eine Antwort zu erhalten, schließt sie darauf, dass die Malware nicht mehr reagiert oder kompromittiert wurde und beendet sich selbst.

Nach außen wirkt die Attacker-Funktion. Sie ist für das Starten von DDoS-Angriffen (Distributed Denial of Service) verantwortlich und ermöglicht den Backdoor-Zugriff. Sie stellt diverse Angriffsmethoden bereit. Fortinet zählt UDP Flood, UDP Bypass, TCP Flood, TCP SYN Flood, ICMP Flood, Heartbeat sowie das Backdoor-Modul auf. Der Auslöser zum Aktivieren der Backdoor in Gayfemboy ist die Zeichenkette „meowmeow“. Die Malware versucht, eine Verbindung zum Command-and-Control-Server herzustellen. Zur Auflösung der vorgegebenen Domains nutzt sie öffentliche DNS-Server wie 1.1.1.1, 8.8.8.8 oder 8.8.4.4. Damit umgeht sie gegebenenfalls lokale Filterung.

Die Analyse enthält noch zahlreiche Indizien für Infektionen (Indicators of Compromise, IOCs), anhand derer IT-Verantwortliche prüfen können, ob möglicherweise Maschinen in ihren Netzen befallen sind.

Das Mirai-Botnet selbst griff im Mai Samsung MagicINFO-9-Server an.

(dmk)

IBMs Entwickler haben in QRadar SIEM zwei Schwachstellen geschlossen, über die Angreifer Systeme attackieren können. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Zwei Angriffspunkte

Weil ein falsch konfigurierter Cronjob mit eigentlich unnötigen Berechtigungen ausgeführt wird, können sich Angreifer auf einem nicht näher beschriebenen Weg höhere Nutzerrechte verschaffen (CVE-2025-33120 „hoch„).

Im zweiten Fall im Kontext des IBM QRadar SIEM Dashboards können Zugangsdaten leaken (CVE-2025-36042 „mittel„).

Die IBM-Entwickler geben in einer Warnmeldung an, dass die Ausgaben 7.5 bis einschließlich 7.5.0 UP13 bedroht sind. Die Versionen IBM QRadar SIEM 7.5.0 UP13 IF01 und IBM QRadar Incident Forensics UP13 IF01.

Zuletzt haben die IBM-Entwickler die IT-Verwaltungssoftware Tivoli Monitoring vor möglichen Attacken gerüstet.

(des)

Das Landeskriminalamt Niedersachsen warnt vor einer kreativen und überzeugend aufgemachten Phishing-Masche. Die fängt mit gefälschter Post vom Anwalt an, die eine Gutschrift nach einem angeblichen Krypto-Werte-Betrug verspricht.

Auf dem Portal Polizei-Praevention.de des LKA Niedersachsens gehen die Beamten in die Details des Angriffs auf arglose Empfänger der Briefe. Demnach erhalten die potenziellen Opfer ein Schreiben, in dem eine (falsche) Anwaltskanzlei angibt, dass den Empfängern eine Schadenswiedergutmachung in Höhe von 50.000 Euro zustünden. Für das dafür eingerichtete Konto müssten diese sich lediglich noch legitimieren. Das LKA weist darauf hin, dass sowohl die Anwaltskanzlei als auch die im Anschreiben genannten Finanzdienstleister gefälscht sind.

Die Masche wirkt glaubwürdig, da derzeit vermehrter Krypto-Betrug tatsächlich stattfindet. Etwa aus Call-Centern heraus finden systematisch Beutezüge statt, Europol hat davon bereits einige gefunden und schließen können. Bundesweit gibt es viele Geschädigte, die große Summen in angeblich sichere Systeme investiert haben, dabei jedoch betrogen wurden, erörtert das LKA aus Hannover.

Echte Daten in Anschreiben enthalten

Was ebenfalls die Glaubwürdigkeit erhöht, ist die Angabe der persönlichen Daten der Empfänger wie korrekter Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum und Bankname. Die Datenherkunft ist unbekannt, jedoch stammen diese typischerweise aus geknackten Konten bei Firmen, bei denen die Opfer etwa Kunden sind. Auch Social-Media-Portale, Gewinnspielteilnahmen, Ausweiskopien etwa in Kleinanzeigenportalen oder „normales“ Phishing kommen dafür infrage, schreiben die Beamten.

Zudem enthalten die Schreiben Zugangsdaten, um auf das angebliche Konto zuzugreifen, für das sich Opfer „legitimieren“ sollen. Weiterhin ist ein QR-Code im Brief enthalten, der zu einem WhatsApp-Kontakt führt.

Das LKA hat konkret zwei Anzeigen mit dieser Masche erhalten. Aufgrund des Aufwands mit gefälschten Anwaltsschreiben und unabhängigen Webseiten von falschen Finanzdienstleistern geht die Behörde davon aus, dass weitere dieser Schreiben im Umlauf sind, bundesweit.

Was tatsächlich von den Opfern verlangt wird, ist demnach nicht klar, da sich die Empfänger nicht auf die Betrugsmasche eingelassen haben. Die gaben zudem an, nicht auf anderes Phishing oder Ähnliches hereingefallen zu sein. Das LKA vermutet, dass auf den Webseiten wahrscheinlich „weitere persönliche Daten (Ausweiskopien), Bankdaten, Zugangsdaten zum Onlinebanking, zu zahlende Überweisungen als Vorabgebühr/Bearbeitungsgebühren, Freischaltung eines Bankkontos (welches später für Geldwäsche missbraucht wird) verlangt“ werden.

Das LKA Niedersachsen empfiehlt jedoch, dass Empfänger auf derartige Schreiben nicht reagieren sollen. Sie sollen auch keine weiteren persönlichen Daten oder Bilder von Ausweisen etwa über WhatsApp, E-Mail oder Telefon preisgeben. Die Strafverfolger empfehlen weiter, dass Empfänger die lokale Polizeibehörde kontaktieren sollen. Wer auf diese Masche hereingefallen ist, soll unverzüglich Anzeige dort erstatten. Sofern Bank- und Zugangsdaten übermittelt wurden, sollen Opfer zudem ihr Finanzinstitut kontaktieren.

(dmk)