Entfernen Sie EnvyScout Malware
Die APT29-Hacker, die ebenfalls unter dem Gruppennamen Nobelium geführt werden, haben kürzlich eine neue Angriffskampagne gestartet, die eine ganze Reihe neuer Malware-Beispiele verwendet. Die zuvor unentdeckten Malware-Familien wurden wahrscheinlich von den Nobelium-Kriminellen entwickelt und werden bei sorgfältig geplanten Angriffen verwendet, die mehrere Ausführungsstufen umfassen.
Bisher richtete sich die jüngste Kampagne gegen mehrere Organisationen auf der ganzen Welt, von denen die US-amerikanische Agentur für internationale Entwicklung (USAID) am bemerkenswertesten ist. Angeblich gelang es den Hackern, eines der E-Mail-Konten der Organisation zu kompromittieren und es dann zum Versenden zu missbrauchen Spam-E-Mails mit den verschiedenen Nutzdaten. Die Zielorganisationen decken eine breite Palette von Sektoren ab, darunter Entwicklung, humanitäre, politische und verschiedene gemeinnützige Organisationen.
Eine der ersten Nutzlasten, die an diesen Angriffen beteiligt sind, heißt EnvyScout. Es ist eine sehr einfache schädliche Datei, die eine Kombination aus HTML und JavaScript verwendet, um zu versuchen, ein spezielles Bild von einem externen Server zu laden. Die Art und Weise, wie das Laden erfolgt, ermöglicht es den Angreifern jedoch, die Windows NTLM-Anmeldeinformationen (NT Lan Manager) des Benutzers in einem verschlüsselten Zustand abzurufen. Sie können dann versuchen, das Klartextkennwort wiederherzustellen und damit den Computer des Opfers zu kompromittieren, um zusätzliche Nutzdaten bereitzustellen.
Die EnvyScout-Malware ist die allererste Phase der Angriffskette, die die Nobelium-Hacker in ihrem letzten Betrieb ausführen. Benutzer sollten sich vor verdächtigen E-Mails in Acht nehmen, in denen sie aufgefordert werden, einen Anhang herunterzuladen und anzuzeigen. Sie sollten solche Dateien immer mit Hilfe eines geeigneten Sicherheitstools scannen.