WaterDrop-Malware

Die WaterDrop-Malware ist Teil mehrerer kürzlich entdeckter beschädigter Binärdateien, die bei Angriffen verwendet werden, die Linux-Installationen infizieren. Die Malware-Familie wurde erstmals von den infosec-Forschern der Alien Labs von AT&T entdeckt. Ihre Analyse ergab, dass alle Bedrohungen eine Open-Source-Hintertür namens Prism als Grundlage nutzten, auf der die Angreifer langsam Modifikationen einführten.

Die bedrohlichen Fähigkeiten von WaterDrop sind überraschend einfach. Gleichzeitig fehlt es an ausgeklügelten Anti-Erkennungs- oder Verschleierungstechniken. Tatsächlich geben die Forscher an, dass WaterDrop mehrere leicht identifizierbare Merkmale enthält. Ganz zu schweigen davon, dass es über Klartext-HTTP mit der Command-and-Control-Infrastruktur (C2, C&C) kommuniziert. Gemessen an der Effektivität der Angriffskampagne hätten jedoch nur wenige Menschen vermutet, dass dies der Fall ist.

Die Domain zur WaterDrop-Kampagne wurde am 18. August 2017 registriert und ist fast 4 Jahre später immer noch online und betriebsbereit. Trotz der langen Nutzung ist es WaterDrop gelungen, einen Erkennungswert von nahezu Null zu erreichen und zu halten, was bedeutet, dass es jahrelang unbemerkt unter dem Radar fliegen konnte. Die bisher plausibelste Erklärung ist, dass die hohe Erfolgsquote dadurch erreicht wurde, dass die Angriffskampagne extrem klein gehalten wurde.

Die Cyberkriminellen hinter WaterDrop und der damit verbundenen Malware-Familie haben ihr bedrohliches Toolkit langsam aktualisiert und werden voraussichtlich ihre Aktivitäten fortsetzen.