Bisher ging man von zwei Stufen aus, doch die vom CCleaner verteilte Malware scheint mindestens drei Stufen zu besitzen.
Bekanntlich verteilte eine von August bis September 2017 angebotene Version des beliebten CCleaner eine Malware, welche über ein Backdoor weitere Schadware installierte, wir berichteten. Doch wie Jakub Křoustek und Jiří Bracek von Avast auf der Sicherheitskonferenz Virus Bulletin in Madrid sagten, verfügt die Malware über mindestens noch eine dritte Stufe.
Cisco vertritt seit Beginn die These, dass die Malware einen ganz gezielten Angriff durchführt bzw. durchführen sollte. Diese These wird gestützt durch den Umstand, dass die zweite Stufe der Malware sich auf rund 40 Rechnern installierte, also ziemlich gezielt eingesetzt wurde.
Dabei hat man Interessantes festgestellt: So unterbricht die Malware ihre Installation auf Systemen mit Nutzern ohne Adminrechte, zudem scheinen ausschließlich 32-Bit-Systeme betroffen. Lediglich die wenig verbreitete Cloud-Version scheint sich auch ohne Adminrechte zu installieren.
Doch auch bei der zweiten Stufe scheint es sich nur um ein Programm zu handeln, welches weitere Software herunterlädt. Es gibt also noch mindestens eine dritte Stufe, wenn nicht sogar mehr. Dazu weiter ins Detail wollte Avast aber nicht gehen, da man sich noch mitten in den Ermittlungen befindet.
Die erste Stufe scheint hauptsächlich über eine hardcodierte IP-Adresse mit dem Server kommuniziert zu haben, eine weitere dynamische Möglichkeit der Kontaktaufnahme wurde in Zusammenarbeit mit Cisco eingedämmt.
Weitere Details zu diesem interessanten Fall findet ihr bei unseren Kollegen von golem.de.
