So können peinliche Partyfotos, aber vor allem auch Scans von Dokumenten wie Personalausweisen oder Führerscheinen in falsche Hände geraten. «Letzteres sind Daten, die man mit wenig Aufwand zu Geld machen kann», warnt Udo Schneider, Solution Architect EMEA bei Trend Micro, gegenüber pressetext.
Abbild des Systems erstellen
Nach dem Motto «Ein Bild sagt mehr als tausend Worte» ist das auch ein Risiko für Unternehmen, die wichtige Informationen unvorsichtigerweise in Form von Bilddateien gespeichert haben. Doch das grössere Risiko ist hier, dass der Trojaner neben Bildern auch sogenannte DMP-Dateien stiehlt, in denen nach Programmabstürzen genaue Informationen über den Zustand des Systems gespeichert werden.
Der neue Schädling macht Jagd auf Bilddateien mit den Endungen .JPG und .JPEG, die potenziell viele verschiedene interessante Daten enthalten können. Theoretisch wäre Erpressung mit peinlichen Privatfotos ebenso denkbar wie der Klau von Screenshots interner Anwendungen in Unternehmen. Am leichtesten finanziell verwertbar sind aber laut Schneider Scans wichtiger Dokumente, weshalb hier eher Privatpersonen gefährdet sind. Denn Unternehmen mit modernen Scannern werden wichtige Dokumente eher im PDF-Format ablegen.
Die grössere Gefahr für Betriebe ergibt sich daher aus dem Klau der Memory-Dump-Dateien. «Das ist ein Eins-Zu-Eins-Abbild des Speichers zu dem Zeitpunkt, wenn ein Programm abgestürzt ist», erklärt der Spezialist.
Der neue Schädling macht Jagd auf Bilddateien mit den Endungen .JPG und .JPEG. /
Dementsprechend viele Informationen kann ein Hacker aus diesen Dateien gewinnen, um beispielsweise in Folge gezielte Angriffe auf das Unternehmen besser planen und effizienter durchführen zu können.
Frühstadium, aber trotzdem gefährlich
Insgesamt stiehlt der Trojaner, der sich unbemerkt beim Besuch einer infizierten Webseite im System einschleichen kann, bis zu 20.000 Dateien. Hier offenbart sich, dass der Schädling noch nicht wirklich ausgereift ist. Denn er scannt das System wahllos nach JPEG- und DMP-Dateien und stiehlt die zuerst gefundenen. «Das können auch die tausenden JPEGs im Browser-Cache sein», meint Schneider. Die Hintermänner kommen also nicht unbedingt an wirklich wertvolle Daten.
Freilich bedeutet das keine Entwarnung. «Der Trojaner hat eindeutig schon Schadpotenzial, ist aber noch nicht so effizient, wie er sein könnte», warnt der Trend-Micro-Experte. Durch Routinen, die auf dem befallenen Rechner eine sinnvolle Vorauswahl der zu stehlenden Dateien treffen, könnte der Schädling gefährlicher werden. Zum Schutz rät Trend Micro zur Installation von Sicherheitsprogrammen. Die aktuelle Version des Trojaners wird von den Lösungen des Anbieters bereits erkannt.
