Trojaner
18.08.2014
IcoScript

Trojaner steuert infizierte PCs per Webmail

Ein bislang unentdeckter Schädling namens Win32.Trojan.IcoScript.A kapert Windows-PCs und nutzt bekannte Webportale wie Yahoo und Gmail, um von dort Steuerbefehle zu erhalten.Ein bislang unentdeckter Schädling namens Win32.Trojan.IcoScript.A kapert Windows-PCs und nutzt bekannte Webportale wie Yahoo und Gmail, um von dort Steuerbefehle zu erhalten.Ein bislang unentdeckter Schädling namens Win32.Trojan.IcoScript.A kapert Windows-PCs und nutzt bekannte Webportale wie Yahoo und Gmail, um von dort Steuerbefehle zu erhalten.
Foto: G DATA Software AG
Ein bislang unentdeckter Schädling namens Win32.Trojan.IcoScript.A kapert Windows-PCs und nutzt bekannte Webportale wie Yahoo und Gmail, um von dort Steuerbefehle zu erhalten.
Der Windows-Schädling IcoScript treibt bereits seit 2012 unentdeckt sein Unwesen. Der Trojaner nutzt eine eigene Skriptsprache, um sich automatisch mit einem Webmail-Account zu verbinden und von dort Steuerbefehle für den infizierten Rechnern zu erhalten.
IcoScript missbraucht das Component Object Model (COM), um sich in den Webbrowser Internet Explorer einzuklinken. Über diese von Microsoft entwickelte Software-Schnittstelle lassen sich beispielsweise Plug-ins für den Browser schreiben. Schadcode-Programmierer können den Browser über diese Schnittstelle allerdings auch unbemerkt kompromittieren. „Diese variabel anpassbare Malware, die ihre Aktionen in reguläre Datenströme einnistet, stellt IT-Sicherheitsabteilungen und Abwehrsysteme vor große Schwierigkeiten“, meint Ralf Benzmüller, Leiter der G DATA SecurityLabs.

Trojaner als modulares Fernsteuerungstool

Einmal aktiviert, arbeitet der Trojaner im Grunde wie ein modular aufgebautes Fernsteuerungstool für Windows-PCs. Für seine Kommando- und Kontrollfunktionen missbraucht IcoScript dabei unter anderem Webmailer wie Yahoo. Eine eigene Skriptsprache ermöglicht dem Schädling, automatisierte Aktionen auf den Webseiten der Webportale auszuführen und E-Mails mit weiteren Steuerkommandos aus einem präparierten Postfach abzuholen oder Daten zu versenden.
IcoScript wird bislang zwar nicht als all zu gefährlich eingestuft, doch der Ansatz des Schädlings ist überaus interessant. „Diese Vorgehensweise ist nicht auf Yahoo beschränkt. Sie eignet sich für viele Webportale wie etwa Gmail, Outlook.com, web.de, aber auch LinkedIn, Facebook und andere soziale Netzwerke könnten so missbraucht werden" erläutert Ralf Benzmüller. Zudem lassen sich derartige Webangebote in vielen Unternehmen kaum sperren und automatisierte Intrusion Detection Systeme (IDS) müssten die gzip-komprimierte Kommunikation mit dem Webmailer in Echtzeit entpacken und auswerten.

mehr zum Thema