Malware 101: Informationsdiebstahl als Ziel

Wie im vorigen Artikel dieser Reihe erläutert, verfolgt nahezu jede Malware bestimmte Ziele, da sie von Angreifern entwickelt und eingesetzt wird, die ihre eigenen Beweggründe und Ziele verfolgen. Dies ist der erste von fünf Artikeln, die sich mit den verschiedenen Zielen von Malware befassen, die den in der Cybersecurity-Branche üblichen Typenbezeichnungen zugeordnet werden.

Spyware

Spyware – oder Spionagesoftware – zielt darauf ab, einen Benutzer ohne sein Wissen zu überwachen beziehungsweise seine Daten zu stehlen. Die verwendeten Methoden variieren je nach den spezifischen Zielen des Angreifers und können von einem einmaligen Datenabgriff bis hin zur Präsenz über einen längeren Zeitraum reichen. Auch die Raffinesse der Malware und der verwendeten Techniken kann stark variieren, je nach den dem Angreifer zur Verfügung stehenden Ressourcen, seinen Fähigkeiten und der Art der Kampagne (ausgefeiltere, gezielte Angriffe im Gegensatz zu „Spray and Pray“ Methoden).

Infostealer

Infostealer stehlen Informationen von den Geräten der Opfer und sind eine Art Sammelbegriff für verschiedene Arten von Malware. Passwortdiebe haben es insbesondere auf die auf dem Gerät gespeicherten Zugangsdaten und Passwörter abgesehen - von Webbrowsern gespeicherte Passwörter, WLAN-Passwörter und andere Passwörter und/oder Passwort-Hashes, die möglicherweise gespeichert sind. Diese werden oft in großen Mengen als Kombinationslisten (Listen, die eine große Anzahl von Kombinationen aus Benutzername/E-Mail und Passwort zusammenfassen) verkauft, oder können vom Angreifer gegen die Netzwerke verwendet werden, mit denen das Gerät verbunden ist. Die Art der Zugangsdaten und der Zugang, den sie bieten, sind sehr unterschiedlich und spielen eine wichtige Rolle beim Verkauf und bei der Nutzung. Angesichts des weit verbreiteten Problems der Wiederverwendung von Passwörtern können gestohlene Zugangsdaten manchmal Zugang zu viel mehr Informationen bieten als beabsichtigt.

Bankers

Banker versuchen, Bank- und Finanzdaten zu stehlen. Dazu können Zugangsdaten für Online-Banking-Plattformen, Kryptowährungs-Wallets (wenn dies das einzige Ziel einer Malware ist, wird sie als Cryptojacker bezeichnet) und möglicherweise andere finanzbezogene Informationen gehören. Unabhängig von den spezifischen Taktiken der Malware ist das Ziel der Banker das Geld. Das Geld kann direkt von einem Angreifer gestohlen oder durch Identitätsdiebstahl auf der Grundlage der von der Malware erlangten Informationen eingeschleust werden.

Keylogger

Keylogger überwachen, wie der Name schon sagt, die Tastatureingaben und protokollieren diese in einer Datei, die regelmäßig an einen Angreifer gesendet wird. Dies kann zum Diebstahl von persönlichen Informationen und/oder Zugangsdaten führen, die von einem Benutzer eingegeben wurden, und umgeht jegliche Verschlüsselung, die zum Schutz gespeicherter Anmeldedaten verwendet wird, z. B. bei Passwortmanagern und Browsern. Die gesammelten Daten können zwar aus dem Kontext gerissen sein, beispielsweise zu welchen Websites die Anmeldedaten Zugang gewähren, wenn diese nicht explizit vor der Eingabe der Zugangsdaten in den Browser eingegeben wurden, aber sie umgehen einige Sicherheitsstufen, die Software zum Speichern von Passwörtern bietet (ob Browser oder Passwortmanager). Darüber hinaus können Keylogger mit regelmäßigen Bildschirmaufzeichnungen kombiniert werden, um Kontext hinzuzufügen. Durch die regelmäßige Übertragung von Daten über einen längeren Zeitraum können Keylogger jedoch auch leicht entdeckt und deaktiviert werden, wenn der Datenverkehr überwacht wird.

Der Markt für gestohlene Daten

Sensible Daten und Zugangsdaten werden meist auf Marktplätzen im Darkweb verkauft und können je nach Daten ein paar Dollar für Zugangsdaten zu sozialen Medien bis hin zu tausend oder mehr Dollar für komplette Identitätsdiebstahlpakete oder Zugangsdaten für Netzwerkadministratoren einbringen. Malware ist zwar nicht die einzige Quelle für solche Daten, aber sie ist sehr verbreitet, und die Fähigkeiten zum Informationsdiebstahl werden oft an Malware mit anderen Zielen wie Bots oder Ransomware angehängt, da der Markt für solche Daten so groß ist. Spyware kann auch auf Nischendaten wie Kommunikationsdaten abzielen, um ein Unternehmen zu erpressen oder in Verlegenheit zu bringen, oder auf technologische Geschäftsgeheimnisse für Unternehmensspionage zuzugreifen.

Wenn man bedenkt, wie viele Daten vorhanden sind und was mit den geeigneten Daten erreicht werden kann, können die verschiedenen Arten von Spyware verheerende Folgen haben. Netzwerk- und Datenschutzverletzungen, gestohlenes Geld und Identitätsdiebstahl können sowohl für Unternehmen als auch für Einzelpersonen schwerwiegende Folgen haben. In Kombination mit Social-Engineering-Angriffen können Angreifer nahezu alle gestohlenen Informationen (oder manchmal sogar auf öffentlichen Websites wie sozialen Medien gefundene Informationen) nutzen, um Schaden anzurichten.

Die weiteren Artikel der Reihe Malware 101 finden Sie hier.