Neptune RAT Malware in Windows: Achten Sie auf YouTube- und Telegram-Links

Neptune RAT ist eine gefährliche Malware, die Windows-Geräte über soziale Medien angreift. Sie kann Daten stehlen, Ransomware einsetzen und erfordert einfache präventive Maßnahmen zum Schutz.

Neptune RAT gehört zu den intelligentesten Malware-Bedrohungen, die Windows-Geräte angreifen. Es nutzt Websites wie YouTube und Telegram, um Windows Defender und andere Antiviren-Tools zu umgehen. Zu den Auswirkungen gehören das Sperren von Dateien durch Ransomware, das Stehlen von Passwörtern und das Löschen des Windows 11 Master Boot Record (MBR). Trotz der Schwere ist es überraschend einfach, Ihr Windows-Gerät vor Neptune RAT zu schützen.

Was Macht Neptune RAT So Gefährlich

Die Neptune RAT-Malware wurde erstmals von der Sicherheitsfirma Cyfirma entdeckt. Das „RAT“ steht für Remote Access Trojans. Es ist eine Datei, die, wenn sie geöffnet wird, einem Angreifer die Kontrolle über Ihren Computer aus der Ferne ermöglicht. Normalerweise blockiert Windows solche Versuche. Dafür sind schließlich Antivirenprogramme da.

Allerdings ist Neptune RAT extrem hinterhältig und versteckt seinen schädlichen Code mit arabischen Wörtern und Emojis, wodurch es Ihre Firewall, Windows Defender und andere Antiviren-Tools umgeht. Es erkennt sogar, ob Sie eine virtuelle Maschine (VM) nutzen. Am Benutzerende ruft es zwei einfache PowerShell-Befehle auf, um Ihren PC zu infizieren:

  • irm (Invoke-RestMethod): ruft Inhalte wie Software von Websites wie GitHub ab.
  • iex (Invoke-Expression): führt die heruntergeladenen Daten als Skript aus.

Zu einem bestimmten Zeitpunkt landet ein Batch-Skript in Ihren Windows-Ordnern. Danach verbindet sich Ihr Computer mit dem Server des Angreifers.

Eine so gefährliche und hartnäckige Malware wurde seit langem nicht mehr unter Windows gesehen. Sie nutzt zahlreiche DLL-Dateien, um Ihr System zu stören. Sie kann Ihre PC-Daten sperren (Ransomware), Passwörter aus über 270 Programmen wie Chrome und Brave-Browser stehlen, alles, was Sie kopieren und einfügen, erfassen, Ihre Registrierungseinstellungen ändern und sogar Ihren Master Boot Record (MBR) löschen.

[enlazatom_show_links]

Der schlimmste Teil? Neptune RAT verbreitet sich derzeit über soziale Medien: YouTube, GitHub, Telegram und andere Links. Die meisten Menschen vertrauen YouTube von Natur aus, und zum ersten Mal wurde dieses Vertrauen gebrochen. Es ist jetzt sehr einfach für Hacker, ein Video zu posten, in dem steht: „Klicken Sie auf den Link unter der Videobeschreibung, um 500 $ Bargeld zu erhalten“, und dann eine Neptune RAT-Executable bereitzustellen, die sich als einfacher Text tarnt.

Lösungen Für Neptune RAT Malware

Die Gefahren von Neptune RAT sind vielfältig. Es schleicht sich an jedem Malware-Analyse-Tool vorbei und erfordert nicht einmal Datei-Downloads. Trotz der enormen Verwundbarkeit sind die Lösungen für Windows-Nutzer relativ einfach.

Für Windows-Nutzer, Die PowerShell Kennen

PowerShell verwendet eine Funktion namens „Eingeschränkter Sprachmodus“, die die Anwendung auf grundlegende Aufgaben beschränkt. Sobald es angewiesen wird, kann es nicht mehr auf Webressourcen zugreifen, indem es irm und iex verwendet, und blockiert somit Neptune RAT.

$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

Um die eingeschränkte Spracheinstellung für alle Benutzer Ihres PCs zu erzwingen, wenden Sie Folgendes an:

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Um die obige Einstellung rückgängig zu machen, kehren Sie einfach in den „Vollständigen Sprach“-Modus zurück, und Sie können die irm- und iex-Cmdlets wieder herunterladen.

$ExecutionContext.SessionState.LanguageMode = "FullLanguage"

Bis Windows eine ordentliche Lösung veröffentlicht, ist es am besten, diese deaktiviert zu lassen.

Es gibt eine weitere Möglichkeit. Wenn Sie PowerShell nicht viel verwenden, können Sie den Internetzugang von PowerShell vollständig deaktivieren. Nach dieser Maßnahme wird beim Versuch, die irm/iex-Befehle auszuführen, ein Fehler in PowerShell angezeigt.

New-NetFirewallRule -Name "BlockPowerShellOutbound" -DisplayName "Block PowerShell Outbound" -Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -Action Block

Um die Regel für den Netzwerkblock zu entfernen, verwenden Sie den folgenden Befehl:

Remove-NetFirewallRule -Name "BlockPowerShellOutbound"

Die Unfähigkeit, PowerShell für Online-Aktivitäten zu nutzen, ist eine kleine Unannehmlichkeit, angesichts der Bedrohung durch den Neptune RAT. Ich betrachte dies als die beste Lösung.

Für nicht-technische Nutzer

Wenn du YouTube oder Telegram auf einem Windows-Computer nutzt, kannst du dir vor dem Neptune RAT schützen, indem du vermeidest, Links in Videobeschreibungen anzuklicken – egal, ob die Videoersteller dich dazu auffordern. Sie bieten möglicherweise Rabatte an oder versprechen, Sicherheitsprobleme zu lösen. Diese Links erscheinen häufig in Gaming- oder Ethical Hacking-Videos, können jedoch auch in Filmclips oder anderen Themen vorkommen. Du solltest aufhören, unbekannte Links anzuklicken, selbst wenn Freunde oder Familie sie in sozialen Medien teilen.

Weitere Empfehlungen, die wir für gelegentliche Windows-Nutzer im Umgang mit Neptune RAT haben:

  • Verwende eine Authenticator-App: Auf einem Windows-Gerät ist eine Authenticator-App der beste Weg, um sich vor Eindringlingen zu schützen, die auf sensible Konten zugreifen wollen.
  • Verwende Endpoint-Sicherheitslösungen: Die einzige Möglichkeit, dateilose Malware wie Neptune RAT zu erkennen, ist die Verwendung von Endpoint-Sicherheitssoftware wie Microsoft Defender, die sich von der Windows-Sicherheit unterscheidet. Sie sind viel effektiver darin, auf verdächtige Aktivitäten in PowerShell zu reagieren.

Index
  1. Was Macht Neptune RAT So Gefährlich
  2. Lösungen Für Neptune RAT Malware
    1. Für Windows-Nutzer, Die PowerShell Kennen
    2. Für nicht-technische Nutzer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Go up