Neue Malware Airstalk

Laut Palo Alto Networks setzt Airstalk an der Programmierschnittstelle (API) von Workspace ONE Unified Endpoint Management (UEM) an. Über die API könnten Angreifende einen C2-Kanal (Command and Control) einrichten und darüber vertrauliche Browser-Daten auslesen. Dazu gehören Cookies, Verlauf, Lesezeichen und Screenshots.

Dem Bericht der Sicherheitsforscher zufolge gibt es von Airstalk eine PowerShell- und eine .NET-Variante. Beide hätten Windows-Systeme im Visier. Während die PowerShell-Version eine Persistenz einrichten könne, besitze die andere Variante keinen derartigen Mechanismus.

Die Sicherheitsforscher vermuten, dass sich hinter Airstalk staatlich gesteuerte Akteure verbergen.

Workspace ONE Unified Endpoint Management ist ein MDM-System (Mobile Device Management) zur zentralen Verwaltung mobiler Endgeräte. Hersteller ist Omnissa. Workspace ONE UEM hieß früher AirWatch.

• Prüfen Sie Ihre Systeme auf eine mögliche Kompromittierung. Nutzen Sie hierfür die verfügbaren Kompromittierungsindikatoren (IoC: Indicator of Compromise) (siehe Link unten).
• Das Angreiferverhalten unterscheidet sich von regulärem Nutzerverhalten. Richten Sie deshalb eine verhaltensbasierte Überwachung ein.