Beveiligingsbedrijf Kaspersky heeft zogenaamde fileless malware ontdekt op netwerken van 140 ondernemingen, waaronder banken. Deze vorm van kwaadaardige software bevindt zich alleen in het geheugen van systemen en is daardoor moeilijk te detecteren.

De malware wordt gebruikt om logingegevens van beheerders te verzamelen, schrijft Kaspersky in een analyse. Daarvoor maakt de malware gebruik van veelgebruikte tools als MeterpreterMimikatz en PowerShell. De PowerShell-scripts werden volgens de onderzoekers gegenereerd aan de hand van het Metasploit Framework, dat onder andere gebruikt wordt om exploits te gebruiken en te configureren. Er waren daardoor geen malwarebestanden nodig en de sporen van een aanval waren na een herstart van het systeem uitgewist.

De onderzoekers kwamen de aanvallen op het spoor toen een bank Meterpreter-code in het geheugen van een domeincontroller aantrof. Zij kwamen erachter dat door een PowerShell-script in het Windows-register de Meterpreter-payload in het geheugen van het systeem was geladen. Ook was er een kwaadaardig proces aangemaakt met het standaard-Windows-onderdeel SC. Vervolgens werd een ander standaardonderdeel, NETSH, gebruikt om verbinding te maken met een command and control-server. Om de daarvoor benodigde beheerdersrechten te verkrijgen, maakten de aanvallers gebruik van Mimikatz.

Volgens Kaspersky is het bijna onmogelijk om te zeggen wie er achter de aanvallen zit, omdat er gebruik is gemaakt van eenvoudig verkrijgbare tools en domeinen zonder whois-informatie. De getroffen ondernemingen zijn vooral gevestigd in de VS, Frankrijk, Ecuador, Kenia en in het VK. Het bedrijf zegt dat geavanceerde aanvallen met geheugenmalware steeds vaker voorkomen en dat de ontdekking aantoont dat een succesvolle aanval ook zonder malwaresamples mogelijk is.

Reacties mogelijk gemaakt door CComment