Sicherheitsforscher von Logpoint haben den Browser Hijacker ChromeLoader enttarnt. Dabei handelt es sich um eine auf den ersten Blick harmlose Browsererweiterung, die Suchanfragen von Nutzern hijackt und Datenverkehr an eine Werbeseite sendet, ähnlich wie die meisten verdächtigen Browsererweiterungen. Umgangssprachlich als "Malvertising" bekannt, erweist sich ChromeLoader als eine Kampagne, die Teil eines größeren und weit verbreiteten, finanziell motivierten Musters ist. Die Angreifer sind wahrscheinlich Teil eines größeren Netzwerks von Marketingpartnern und sollen den Benutzer auf Werbeseiten umleiten. Der Browser Hijacker unterscheidet sich von anderen Malvertising-Kampagnen dadurch, dass er sich selbst in den Browser einschleust und ihm mit Hilfe der PowerShell eine bösartige Erweiterung hinzufügt – eine Technik, die nicht sehr häufig zum Einsatz kommt und daher von vielen Sicherheitstools unerkannt bleibt. Die aktuell entdeckte Kampagne zielt auf macOS-Systeme ab, um Safari und Chrome zu infizieren. Die Malware-Betreiber verwenden eine bösartige ISO-Archivdatei, um in das System einzudringen. (dr) Logpoint: www.logpoint.com

Häufigere Awareness-Trainings verbessern das Verständnis von Sicherheitsanweisungen. Zu diesem Schluss kommt KnowBe4 in einem neuen Report. In 84 Prozent der Fälle haben die Security-Awareness-Trainings das Verständnis der Mitarbeiter für die Sicherheitsanweisungen verbessert. Die entsprechende Bewertung durch die Befragten lag bei 70 von 100 Punkten; das Ergebnis variierte jedoch stark, je nachdem, wie viele Trainings in den letzten 12 Monaten absolviert wurden. Bei der Analyse spezifischer Branchen kam heraus, dass in der Gastronomie am häufigsten keine derartigen Trainings stattfanden und dass das Bildungswesen die Klarheit der Anweisungen im Fall eines Sicherheitsvorfalls von allen untersuchten Branchen am niedrigsten bewertete. (dr) KnowBe4: : www.knowbe4.com

VMware erweitert Workspace ONE hinsichtlich des Schutzes von Endgeräten. Die neuen Funktionen aus dem Hause Lookout umfassen unter anderem auch Workspace ONE Mobile Threat Defense für erweiterte Sicherheit auf mobilen Geräten. Der Anbieter nutzt dabei Sicherheitstechnologien von Lookout und will so vor anwendungsbasierten Bedrohungen schützen – einschließlich mobiler Malware, Schwachstellen in Anwendungen und riskanter Verhaltensweisen und Konfigurationen von Anwendungen. Gleichzeitig soll die Software vor bösartigen URLs, Videos und Fotos schützen und Zero-Day-Bedrohungen und Geräteschwachstellen ausmerzen. Dazu zählen die Erkennung von Jailbreak und Root-Zugriff. Schließlich sollen auch Machine-in-the-Middle-Angriffe verhindert werden. (jp) Lookout: https://de.lookout.com/products/mobile-endpoint-security

Lenovos neue ThinkStation P360 Ultra will als Desktop-Workstation mit viel Leistung auf wenig Raum punkten. Das Gehäuse hat laut Anbieter ein Gesamtvolumen von weniger als 4 Litern und ist gleichzeitig mit Intel-Core-Prozessoren der 12. Generation und Unterstützung für mobile professionelle NVIDIA-RTX-A5000-Grafikkarten ausgestattet. Außerdem befindet sich das Motherboard in der Mitte des Gehäuses, was eine gute Kühlung und bessere Raumeffizienz bei der Konfiguration der Workstation ermöglichen soll. Das neue System bietet bis zu 128 GByte DDR5-Speicher, zwei PCIe-Gen-4-Steckplätze für Erweiterungsmöglichkeiten, bis zu 8 TByte M.2-Speicher und Unterstützung für bis zu acht Bildschirme. Das Gerät ist außerdem mit zwei Onboard-Ethernet- und Thunderbolt-4-Anschlüssen ausgestattet. Die ThinkStation P360 Ultra ist voraussichtlich ab Ende August 2022 für 1299 Euro erhältlich. (jp) Lenovo: www.lenovo.com/workstations

Super Micro Computer präsentiert eine ganze Palette neuer Systeme für das Edge-Computing – darunter SuperEdge und eine Reihe von Systemen auf Intel-Xeon-D-Prozessorbasis mit bis zu 20 Kernen und integriertem 25-GbE-Netzwerk. Die neuen Geräte verfügen über einen Temperaturbetriebsbereich von -40 bis 85 Grad Celsius. Diese Systeme sind nach Herstellerangaben für Intelligent Edge optimiert, wo reaktionsschnelle Systeme mit reduzierter Latenz erforderlich sind. Mit ihrer geringen Tiefe und Front-E/A-Systemen sollen sich die neue Devices für Edge-Umgebungen eignen, in denen der physische Raum möglicherweise knapp ist. Derartige Systeme müssen zudem teilweise in Einrichtungen weit weg von klimatisierten Rechenzentren und ohne Unterbrechung laufen. (jp) Super Micro Computer: www.supermicro.com/en/products/iot-edge

Das Threat Intelligence Team von Malwarebytes identifizierte Ende Juni ein Dokument, das mit dem Exploit Follina (CVE-2022-30190) als Waffe eingesetzt wurde, um einen neuen .NET-Stealer herunterzuladen und auszuführen. Follina ist eine kürzlich entdeckte Zero-Day-Schwachstelle, die das ms-msdt-Protokoll nutzt, um beim Öffnen von Word-Dokumenten bösartigen Code zu laden. Malwarebytes hat nun zum ersten Mal beobachtet, dass APT28 Follina für seine Operationen verwendete. Das Hauptziel des Stealers besteht darin, Daten aus mehreren gängigen Browsern zu stehlen. Auch wenn das Plündern von Browsern wie ein kleiner Diebstahl aussehen mag, sind Anmeldedaten mitunter der Schlüssel zum Zugriff auf Geheimdienst- und sensible Informationen. Das Ziel und die Beteiligung von APT28 legen nahe, dass die Kampagne Teil des Konflikts in der Ukraine ist oder zumindest mit der Außenpolitik und den militärischen Zielen des russischen Staates in Verbindung stehen könnte. (dr) Malwarebytes: www.malwarebytes.com

Seit März 2021 treibt offenbar eine Exchange/ IIS-Malware unbemerkt ihr Unwesen. Genannt "SessionManager" tritt der Schadcode als IIS-Modul auf und greift dann OWA-Anmeldedaten ab. Die Hintertür soll laut Kaspersky-Experten persistent sein und auch Updates des Servers überstehen. Obwohl die ersten Samples bereits Anfang 2022 durch Kaspersky entdeckt wurden, sei die Erkennung durch andere AV-Hersteller noch immer nicht gegeben. 34 Server von 24 Organisationen in Europa, dem Nahen Osten, Südasien und Afrika sollen nach wie vor infiziert sein. Zugeschrieben wird die Schadsoftware der Gelesium-Gruppe. (dr) Kaspersky: www.kaspersky.de

Arcserve hat die Reihe seiner N-Serie-Appliances um die beiden Modelle N1100-4 und N1200-4 ausgebaut. Die neuen hyperkonvergenten Datensicherungsgeräte bieten Unternehmen integrierte Sicherungs-, Wiederherstellungs- und Ransom-ware-Schutzfunktionen. Die Neuvorstellungen kombinieren die orchestrierte Wiederherstellung mit der Software Arcserve UDP mit dem flexiblen Scale-out-Design von Nutanix sowie dem Ransomware-Schutz des Backupsystems mit Sophos Intercept X Advanced. Letzteres beinhaltet unter anderem eine signaturbasierte sowie signaturlose Malware-Erkennung und ein neuronales Deep-Learning-Netzwerk. IT-Administratoren verwalten die Datensicherung über eine einheitliche Konsole unter Verwendung von Nutanix Prism. (ln) Arcserve: www.arcserve.com/de/products/arcserve-n-series

Perle Systems stellt den IDS-710 Managed Industrial Ethernet Switch vor, der extremen Temperaturen, Überspannung, Vibrationen und Schocks standhalten soll. Das Gerät eigne sich so unter anderem für industrielle Automatisierung und Outdoor-Anwendungen. Der lüfterlose Switch will bei Betriebstemperaturen von -40 bis 70 Grad Celsius hohe Zuverlässigkeit gewährleisten.Der IDS-710 kommt mit PROFINET- und Modbus-TCP-Protokollunterstützung für Überwachung und Gerätemanagement und dem MRP-Ringprotokoll für weniger als zehn Millisekunden Wiederherstellungszeit daher. Er bringt erweiterte Sicherheits- und IT-Managementfunktionen, darunter etwa TACACS+, RADIUS, 802.1x, SSH, SNMPv3 und HTTPS, mit und verfügt über acht 10/100/1000 MBit/s RJ45 Ethernet-Anschlüsse sowie zwei SFP-Slots, die 1-G- und 2,5-G LWL-oder 10/100/1000-Base-T unterstützen. (jp) Perle Systems: www.perlesystems.de

Splunk hat auf seiner jährlichen Benutzerkonferenz neue Funktionen für integrierte Sicherheit und Observability auf einer gemeinsamen Datenplattform vorgestellt. So soll sich mit Splunk Enterprise 9.0 auf mehr Datenquellen zuzugreifen lassen, was laut Anbieter erlaubt, Erkenntnisse noch schneller zu finden und zu operationalisieren, Bereitstellungen zu sichern und zu skalieren. Im Detail soll der Data Manager for Splunk Cloud Platform künftig auch die Google Cloud Platform unterstützen und Splunk Log Observer Connect es IT-Verantwortlichen ermöglichen, alle Daten an einem Ort zu visualisieren. So lässt sich über eine einzige Schnittstelle auf Metriken, Traces und Splunk-Cloudlogs zugreifen, um eine schnellere, kontextbezogene Fehlersuche und -behebung durchzuführen. Im Preview befindet sich Splunk Incident Intelligence zur Unterstützung bei der Behebung von Sicherheitsvorfällen. Darin enthalten sind Ereigniskorrelation, Incident Response als auch On-Call Routing sowie Kollaboration und Automatisierung. Der Anomaly Detection Assistant will Untersuchungen vereinfachen und mithilfe von maschinellem Lernen helfen, potenzielle Probleme zu finden. Schließlich verspricht das neue Risk-based Alerting in Splunk Enterprise, den Security-Zero-Trust-Ansatz umzusetzen. (jp) Splunk: www.splunk.com/de_de

Mit dem Modell HD6500 gibt Synology den Startschuss für seine neue Serie an High-Density-Speichergeräten. Mit einem 4HE-Formfaktor und 60 Einschüben für 3,5-Zoll-SAS-HDDs und optionalen Expansionseinheiten lassen sich mit dem Neuzugang laut Hersteller bis zu 4 PByte an Daten speichern. Das integrierte Btrfs-Dateisystem unterstützt standardmäßig Volumes mit einer Größe von bis zu 1 PByte. Was die Geschwindigkeit des Geräts betrifft, will Synology über 6688 MBit/s beim sequenziellen Lesen und 6662 MBit/s beim sequenziellen Schreiben gemessen haben. Die beiden integrierten 10GbE-RJ-45- und drei GBit-Ethernet-Ports lassen sich um bis zu zehn zusätzliche Schnittstellen ergänzen, die über 10GbE-SFP+/RJ-45- und 25GbE-SFP28-Netzwerkkarten sowie FC-Adapter auf vier PCIe-Steckplätzen verfügen. (ln) Synology: www.synology.com/de-de/products/HD6500

Mozillas E-Mail-Client Thunderbird macht einen größeren Versionssprung auf 102 und zieht dadurch mit Firefox gleich. Dabei haben die Entwickler dem Programm einige neue Features spendiert. Am augenfälligsten dürfte die überarbeitete Benutzeroberfläche sein. So wirken die Einträge im Adressbuch nun deutlich aufgeräumter und bieten zusätzliche Informationsfelder. Eine neue Toolbar links von den Ordnern ermöglicht den Nutzern außerdem das schnelle Umschalten zwischen E-Mail, Kalender, Adressbuch, Aufgaben, Chat sowie den Einstellungen. Die Kopfleiste in den Nachrichten lässt sich zudem nun personalisieren. Ein neuer Assistent erlaubt den Export von Konten etwa aus Outlook oder SeaMonkey sowie anderen Thunderbird-Installationen. Das neue Release soll Stand Juli nach und nach ausgerollt werden. (dr) Thunderbird: www.thunderbird.net

Stormshield hat mit den Modellen SN-M-Series-720 und 920 den Vorhang für seine neue Firewall-Produktfamilie gelüftet. Die beiden Geräte haben ähnliche Gehäuse und sind mit einer skalierbaren Softwareplattform ausgestattet. Unternehmen können damit ihre Nutzerbasis von 300 auf 500 erhöhen, indem sie einfach die Lizenz hochstufen.Zu den weiteren Merkmalen gehören eine redundante Stromversorgung und SDWAN-Funktionen, die eine optimale Verteilung des Datenverkehrs auf verschiedene Netzwerkzugänge ermöglichen sollen. Als weiteren Vorteil führt der Hersteller ins Feld, dass sich beide Modelle der SN-M-Serie in einem Telekommunikationsrack installieren lassen. Letzteres fällt kleiner aus als ein Serverrack und ist daher einfacher als Teil einer bereits bestehenden Infrastruktur einsetzbar. (ln) Stormshield: www.stormshield.com/de/

Mit der neusten Version seines Secret Servers will Delinea ein verbessertes Disaster Recovery und neue Standards in Sachen Remote Access ausliefern. Neue Sicherheitskontrollen für eine höhere Ausfallsicherheit sowie ein Remote-Access-Service und ein VPN-loses Sitzungsmanagement sollen die Verwaltung privilegierter Accounts vereinfachen. Die optimierten Disaster-Recovery-Funktionen stellen Unternehmen eine automatisierte Redundanz zur Verfügung, die im Fall eines Infrastrukturausfalls einen uneingeschränkten Zugriff auf Secrets gewährleisten. Unabhängig davon, ob IT-Verantwortliche Secret Server lokal oder in der Cloud einsetzen, haben sie nun die Möglichkeit, sensitive Daten automatisch entweder auf eine andere Instanz vor Ort oder in der Cloud zu replizieren, um die Ausfallsicherheit sicherzustellen.Darüber hinaus führt der Hersteller das neue Remote-Access-Service-Add-on für Secret Server ein. Diese neue Funktion bietet eine VPN-lose, browserbasierte RDP/SSH-Sitzungsverwaltung für Auftragnehmer und Remote-Mitarbeiter. Zusätzlich zu den aktuellen Ses- sionmanagement-Funktionen von Secret Server tritt der Remote Access-Service an, die Benutzerfreundlichkeit zu verbessern und Reibungsverluste zu reduzieren, da weder Client noch VPN-Verbindung erforderlich sind, um die verschiedenen Umgebungen und Systeme zu unterstützen. Dabei funktioniert der neue Remote Access-Service sowohl mit der On-Premises- als auch Cloudbereitstellung von Secret Server. (jp) Delinea: https://delinea.com/products/secret-server/

Seit Beginn des Jahres 2022 hat das Zscaler ThreatLabz-Team verstärkte Aktivitäten der APT-Gruppe Evilnum in der Zscaler Cloud analysiert, die auf Europa ausgerichtet sind. Mit neuen Techniken und Prozessen stehen vor allem Finanzdienstleister im Bereich Handel und Compliance im Visier. Mit dem jüngsten Auftreten haben die Bedrohungsakteure begonnen, MS- Office-Word-Dokumente zu verwenden und die Injektion von Dokumentvorlagen zu nutzen, um die schädliche Payload auf den Computer des Opfers zu übertragen. Die Sicherheitsforscher konnten mehrere Domains identifizieren, die mit der Evilnum-APT-Gruppe in Verbindung stehen und die bislang unbekannt waren.Im ersten Schritt wird ein Schadcode-behaftetes Dokument über Spear-Phishing-Mails verbreitet. Wenn ein User dieses Dokument herunterlädt und öffnet, lädt der zweite Schritt ein Makro-Template von der Webseite nach, die von den Angreifern registriert wurde. Darin wird der User aufgefordert, das Makro zu aktivieren. Der Makro-Code verwendet die VBA Code Stomping-Technik, um den Orignal-Source-Code zu zerstören und durch die kompilierte Version des VBA-Makro-Codes in dem Dokument zu ersetzen. Ein stark verschleiertes JavaScript findet Verwendung, um die Payload auf dem Endpunkt abzulegen. Die abgelegte Binärdatei wird im Anschluss aufbauend auf einem geplanten Startzeitpunkt ausgeführt. Dieses JavaScript weist im Vergleich zu den von der Evilnum-APT-Gruppe verwendeten früheren Versionen erhebliche Verbesserungen in der Verschleierungstechnik auf. (dr) Zscaler-Blog: https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets