{"id":27880,"date":"2021-12-22T19:19:19","date_gmt":"2021-12-22T17:19:19","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27880"},"modified":"2021-12-22T19:19:19","modified_gmt":"2021-12-22T17:19:19","slug":"pseudomanuscrypt-industrial-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/pseudomanuscrypt-industrial-malware\/27880\/","title":{"rendered":"PseudoManuscrypts \u2013 Spyware-Kampagne mit ICS-Computer im Visier"},"content":{"rendered":"<p>Im Juni 2021 entdeckten unsere IT-Spezialisten eine neue Malware namens PseudoManuscrypt, dessen Methoden ziemlich typisch f\u00fcr Spyware sind. Die Malware funktioniert wie ein Keylogger, sammelt Informationen \u00fcber die erstellen VPN-Verbindungen und gespeicherten Passw\u00f6rter, stiehlt Clipboard-Inhalte, zeichnet Audios \u00fcber das eingebaute Mikrofon auf (wenn der Computer eins hat) und nimmt Bilder auf. Eine Variante der Spyware kann auch die Anmeldedaten von QQ- und WeChat-Messenger stehlen, Videos vom Bildschirm machen und verf\u00fcgt au\u00dferdem \u00fcber eine Funktion, die versucht Sicherheitsl\u00f6sungen zu deaktivieren. Alle von der Malware gesammelten Daten werden an den Server der Angreifer gesendet.<\/p>\n<p>Wenn Sie die technischen Details des Angriffs und die Gef\u00e4hrdungsindikatoren interessieren, empfehlen wir Ihnen einen Blick auf unseren <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2021\/12\/16\/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign\/\" target=\"_blank\" rel=\"noopener\">ICS CERT-Bericht<\/a> zu werfen.<\/p>\n<h2>Woher der Name stammt<\/h2>\n<p>Unsere Experten entdeckten, dass diese neuen Angriffe einige \u00c4hnlichkeiten mit der bereits bekannten <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2021\/02\/25\/lazarus-targets-defense-industry-with-threatneedle\/\" target=\"_blank\" rel=\"noopener\">Manuscrypt-Malware<\/a> aufwiesen. Doch in einer Analyse stellte sich heraus, dass ein vollkommen anderer Akteur, die APT41-Gruppe, bereits vorher einen Teil des Malware-Codes bei den Angriffen eingesetzt hatte. Wer genau hinter den aktuellen Angriffen steckt, ist noch nicht ganz klar und aus diesem Grund haben wir die Malware PseudoManuscrypt genannt.<\/p>\n<h2>Wie PseudoManuscrypt Systeme infiziert<\/h2>\n<p>Eine erfolgreiche Infizierung mit PseudoManuscrypt erfordert eine recht komplexe Kette an Ereignissen. Der Angriff auf einen Computer beginnt in der Regel, wenn der Benutzer ein Installerpaket f\u00fcr eine Raubkopie einer bekannten Software herunterl\u00e4dt und ausf\u00fchrt, das aber statt der gew\u00fcnschten Software die Malware enth\u00e4lt.<\/p>\n<p>Wenn Sie im Internet nach Raubkopien von Software suchen, ist es nicht schwer auf PseudoManuscrypt zu sto\u00dfen. Webseiten, \u00fcber die der sch\u00e4dliche Code verteilt wird, werden auf den Seiten mit Suchmaschinenergebnissen ganz oben angezeigt und k\u00f6nnen leicht \u00fcber popul\u00e4re Suchanfragen gefunden werden.<\/p>\n<p>Das erkl\u00e4rt die gro\u00dfe Anzahl an Versuchen industrielle Systeme anzugreifen. Abgesehen von den Fake-Installern f\u00fcr weitverbreitete Software (wie u. A. Office Suits, Sicherheitsl\u00f6sungen, Navi-Systeme und 3D-First-Person-Shooter) bieten die Angreifer auch gef\u00e4lschte Installerpakete f\u00fcr professionelle Software, einschlie\u00dflich bestimmter Tools f\u00fcr die Interaktion mit programmierbaren Logik-Controllern (PLC), \u00fcber das Kommunikationsprotokoll ModBus. Das Ergebnis ist eine ungew\u00f6hnlich hohe Anzahl an infizierten ICS-Computer (7,2 % der Gesamtanzahl).<\/p>\n<div id=\"attachment_27881\" style=\"width: 1167px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-27881\" class=\"wp-image-27881 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2021\/12\/22132059\/pseudomanuscrypt-industrial-malware-search-results.png\" alt=\"Suchergebnisse der Schl\u00fcsselw\u00f6rter Software-Raubkopien. Das Installerpaket mit PseudoManuscrypt befindet ganz oben auf der Suchergebnisseite von Google. Sourse.\" width=\"1157\" height=\"947\"><p id=\"caption-attachment-27881\" class=\"wp-caption-text\">Suchergebnisse der Schl\u00fcsselw\u00f6rter Software-Raubkopien. Das Installerpaket mit PseudoManuscrypt befindet ganz oben auf der Suchergebnisseite von Google. <a href=\"https:\/\/ics-cert.kaspersky.ru\/reports\/2021\/12\/16\/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign\" target=\"_blank\" rel=\"noopener\">Sourse<\/a>.<\/p><\/div>\n<p>Im Beispiel des Screenshots oben, wurde Software f\u00fcr Systemadministratoren und Netzwerkingenieure gesucht. Rein theoretisch k\u00f6nnten die Angreifer \u00fcber diese Art von Angriffsvektor uneingeschr\u00e4nkten Zugriff auf die Infrastruktur eines Unternehmens erhalten.<\/p>\n<p>Die Bedrohungsakteure verwenden au\u00dferdem das Malware-as-a-Service (MaaS) System \u2013 sie zahlen andere Cyberverbrecher f\u00fcr die Verteilung der Malware. F\u00fcr diese Methode wird eine interessante Funktion genutzt, die unsere Experten entdeckten, als sie die MaaS-Plattform analysierten: In manchen F\u00e4llen wurde das PseudoManuscrypt mit anderer Malware in ein einziges Paket gepackt, das vom Opfer auf dem Computer installiert wurde. PseudoManuscrypt wird f\u00fcr Spionage verwendet, aber die anderen sch\u00e4dlichen Programme dienen anderen Zwecke, wie beispielsweise die Verschl\u00fcsselung von Dateien f\u00fcr Erpressungen und L\u00f6segeldforderungen.<\/p>\n<h2>Auf wen haben es die Betreiber von PseudoManuscrypt abgesehen?<\/h2>\n<p>Angriffsversuche mit PseudoManuscrypt wurden vor allem in Russland, Indien, Brasilien, Vietnam und Indonesien entdeckt. Unter den Angriffszielen befanden sich eine beachtliche Anzahl an Benutzern mit Konten von industriellen Organisationen. Zu den Opfern z\u00e4hlen Manager f\u00fcr den Aufbau von automatisierten Systemen, Energieunternehmen, Hersteller, Bauunternehmen und sogar Dienstleister f\u00fcr Wasseraufbereitungsanlagen. Eine ungew\u00f6hnlich hohe Anzahl der betroffenen Computer wurden f\u00fcr Engineering-Prozesse und die Herstellung von neuen Produkten in industriellen Unternehmen verwendet.<\/p>\n<h2>So sch\u00fctzen Sie sich vor PseudoManuscrypt<\/h2>\n<p>Es ist wichtig \u00fcber zuverl\u00e4ssige und regelm\u00e4\u00dfig aktualisierte Schutzl\u00f6sungen zu verf\u00fcgen, die ausnahmslos auf allen Ger\u00e4ten im Unternehmen installiert sind, um sich vor PseudoManuscrypt zu sch\u00fctzen. Wir empfehlen au\u00dferdem Richtlinien festzulegen, damit Mitarbeiter die Schutzl\u00f6sungen nicht deaktivieren.<\/p>\n<p>F\u00fcr industrielle IT-Systeme steht Kunden <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/industrial?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Industrial CyberSecurity<\/a> zur Verf\u00fcgung \u2013 eine auf Industrie spezialisierte L\u00f6sung, die die Computer (einschlie\u00dflich Spezialcomputer) besch\u00fctzt und gleichzeitig die Daten\u00fcbertragung mit spezifischen Protokollen \u00fcberwacht.<\/p>\n<p>Denken Sie auch daran, durch Schulungen das Bewusstsein f\u00fcr Cybersicherheit bei Ihren Mitarbeitenden zu erh\u00f6hen. Damit beispielsweise unternehmensweit klar ist, welche Risiken mit dem Herunterladen von nicht autorisierter Software (insbesondere Raubkopien) verbunden sind und das solche Downloads unter keinen Umst\u00e4nden auf Computern mit Zugriff industrielle Systeme get\u00e4tigt werden d\u00fcrfen. Es ist zwar unm\u00f6glich Sicherheitsprobleme durch den Reinfall auf Phishing vollkommen aus dem Weg zu r\u00e4umen, aber Sie k\u00f6nnen eine nachhaltigen Sicherheitskultur im Unternehmen aufbauen und erreichen, dass Ihre Mitarbeiter immer informiert und wachsam sind.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine unerwartet gro\u00dfe Anzahl an industriellen Kontrollsystemen (ICS) sind von Angriffen mit PseudoManuscrypt-Malware betroffen.<\/p>\n","protected":false},"author":665,"featured_media":27882,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107],"tags":[2546,3927,1072],"class_list":{"0":"post-27880","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-industrielle-cybersicherheit","10":"tag-industrielle-systeme","11":"tag-spyware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pseudomanuscrypt-industrial-malware\/27880\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pseudomanuscrypt-industrial-malware\/23759\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/19258\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/25977\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pseudomanuscrypt-industrial-malware\/23955\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/23625\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pseudomanuscrypt-industrial-malware\/26596\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pseudomanuscrypt-industrial-malware\/26204\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pseudomanuscrypt-industrial-malware\/32108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pseudomanuscrypt-industrial-malware\/10384\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/43177\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pseudomanuscrypt-industrial-malware\/18302\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pseudomanuscrypt-industrial-malware\/18691\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/pseudomanuscrypt-industrial-malware\/15630\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pseudomanuscrypt-industrial-malware\/32236\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/pseudomanuscrypt-industrial-malware\/27948\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pseudomanuscrypt-industrial-malware\/24697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pseudomanuscrypt-industrial-malware\/30119\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pseudomanuscrypt-industrial-malware\/29910\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/industrielle-cybersicherheit\/","name":"industrielle Cybersicherheit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27880","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27880"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27880\/revisions"}],"predecessor-version":[{"id":27884,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27880\/revisions\/27884"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27882"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27880"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27880"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27880"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}