X

LitterDrifter:
Russen-Wurm breitet sich über USB-Speicher überall aus

Eine russische Malware-Gruppe, die bisher eigentlich nur durch Angriffe auf Ziele in der Ukraine auffiel, hat einen USB-Wurm losgelassen, der sich inzwischen weltweit ausbreitet. Der Schädling ist unter der Bezeichnung LitterDrifter analysiert worden.
23.11.2023  08:21 Uhr

Klassischer USB-Wurm

Der Kern des Spreader-Moduls der Malware besteht darin, rekursiv auf Unterordner in jedem Laufwerk zuzugreifen. Dabei werden versteckte Verlinkungen und eine Datei namens trash.dll erstellt. Bei der Ausführung fragt das Modul die logischen Laufwerke des Computers ab und sucht nach logischen Laufwerken, bei denen der Wert MediaType auf null gesetzt ist - eine Methode, die häufig zur Identifizierung von USB-Wechsellaufwerken verwendet wird. Über solche Wechselmedien breitet sich der Wurm letztlich aus, berichten die Sicherheitsforscher von CheckPoint Research. Die Malware ist in der Skriptsprache Visual Basic geschrieben und hat den Zweck, sich dauerhaft und möglichst dezent auf den betroffenen Geräten einzunisten.

Ist dies gelungen, klinkt sie das jeweilige System in eine Infrastruktur von Command-and-Control-Servern ein, die von den Entwicklern kontrolliert wird. Über diese sollen dann vor allem Informationen ausgeleitet werden - die Spionage bleibt also auch hier, wie bei anderen Produkten des Autoren-Teams, der hauptsächliche Zweck. Während die meisten infizierten Systeme in der Ukraine zu finden sind, hat sich der Wurm den Angaben zufolge inzwischen in vielen Teilen der Welt ausgebreitet.

Dezent ist anders

Seinen Ursprung hat LitterDrifter bei einer Gruppe, die unter einer ganzen Reihe von Namen bekannt ist: Gamaredon, Primitive Bear, ACTINIUM, Armageddon oder auch Shuckworm. Diese ist mindestens seit dem Jahr 2014 aktiv, als Russlands Krieg gegen die Ukraine begann. Angesichts der bisherigen Aktivitäten wird es als sehr wahrscheinlich angesehen, dass die Gruppe entweder vom russischen Geheimdienst selbst gebildet oder zumindest von diesem gefördert wird.

Die meisten vom Kreml unterstützten Gruppen bemühen sich, unter dem Radar zu fliegen - Gamaredon ist das egal. Die spionagemotivierten Kampagnen, die auf eine große Anzahl ukrainischer Organisationen abzielen, sind leicht zu erkennen und lassen sich durchaus auch offen mit russischen Interessen in Verbindung bringen. Die Gruppe verbreitet in der Regel Malware, die darauf abzielt, so viele Informationen wie möglich von den Zielpersonen zu erhalten.

Black Friday: Die 15 Top-Angebote Hier findet ihr die besten Technik-Deals Zum Angebot
Zusammenfassung
  • Russische Malware "LitterDrifter" weltweit verbreitet
  • USB-Wurm infiziert durch rekursive Unterordnerzugriffe
  • Verlinkungen und "trash.dll" auf Laufwerken erstellt
  • Wurm sucht USB-Laufwerke zur Ausbreitung
  • Visual Basic-Malware für dauerhafte, dezente Präsenz
  • Ziel: Spionage via Command-and-Control-Server
  • Ursprung bei Gruppe Gamaredon seit 2014 aktiv
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture