MÜNCHEN (IT BOLTWISE) – In der sich ständig weiterentwickelnden Welt der Cyberbedrohungen haben Sicherheitsexperten eine neue Phishing-Kampagne entdeckt, die eine fileless Variante der bekannten Remcos RAT Malware verbreitet.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
In der jüngsten Entdeckung von Cybersecurity-Forschern wird eine neue Phishing-Kampagne beschrieben, die eine fileless Variante der kommerziellen Malware Remcos RAT verbreitet. Diese Malware bietet Käufern eine Vielzahl fortschrittlicher Funktionen zur Fernsteuerung von Computern, was von Bedrohungsakteuren missbraucht wird, um sensible Informationen zu sammeln und weitere bösartige Aktionen durchzuführen.
Der Angriff beginnt mit einer Phishing-E-Mail, die mit Kaufauftrags-Themen lockt, um Empfänger dazu zu bringen, einen Microsoft Excel-Anhang zu öffnen. Das bösartige Excel-Dokument nutzt eine bekannte Schwachstelle in Office (CVE-2017-0199) aus, um eine HTML-Anwendung von einem entfernten Server herunterzuladen und auszuführen. Diese Anwendung ist in mehreren Schichten von JavaScript, Visual Basic Script und PowerShell-Code verpackt, um die Erkennung zu umgehen.
Die Hauptaufgabe der HTML-Anwendung besteht darin, eine ausführbare Datei vom selben Server abzurufen und auszuführen. Diese Datei führt dann ein weiteres verschleiertes PowerShell-Programm aus und verwendet eine Reihe von Anti-Analyse- und Anti-Debugging-Techniken, um die Erkennung zu erschweren. Schließlich wird Remcos RAT durch Prozess-Hollowing heruntergeladen und ausgeführt, ohne dass die Datei lokal gespeichert wird, was diese Variante fileless macht.
Remcos RAT ist in der Lage, verschiedene Arten von Informationen vom kompromittierten Host zu sammeln, einschließlich Systemmetadaten, und kann Anweisungen ausführen, die vom Angreifer über einen Command-and-Control-Server erteilt werden. Diese Befehle ermöglichen es dem Programm, Dateien zu sammeln, Prozesse aufzulisten und zu beenden, Systemdienste zu verwalten, die Windows-Registry zu bearbeiten, Befehle und Skripte auszuführen, die Zwischenablage zu erfassen, die Desktop-Hintergrundbilder zu ändern, Kamera und Mikrofon zu aktivieren, zusätzliche Nutzlasten herunterzuladen, den Bildschirm aufzuzeichnen und sogar die Tastatur- oder Mauseingabe zu deaktivieren.
Diese Enthüllung kommt zu einem Zeitpunkt, an dem bekannt wurde, dass Bedrohungsakteure Docusign-APIs missbrauchen, um gefälschte Rechnungen zu versenden, die authentisch erscheinen, um ahnungslose Benutzer zu täuschen und Phishing-Kampagnen im großen Stil durchzuführen. Der Angriff umfasst die Erstellung eines legitimen, bezahlten Docusign-Kontos, das es den Angreifern ermöglicht, Vorlagen zu ändern und die API direkt zu nutzen.
Phishing-Kampagnen nutzen auch eine unkonventionelle Taktik namens ZIP-Datei-Konkatenation, um Sicherheitstools zu umgehen und Remote-Access-Trojaner an Ziele zu verteilen. Diese Methode beinhaltet das Anhängen mehrerer ZIP-Archive in einer einzigen Datei, was Sicherheitsprobleme aufgrund der unterschiedlichen Art und Weise, wie Programme wie 7-Zip, WinRAR und der Windows-Datei-Explorer solche Dateien entpacken und analysieren, einführt.
Die Entwicklung kommt auch zu einem Zeitpunkt, an dem ein Bedrohungsakteur namens Venture Wolf mit Phishing-Angriffen in Verbindung gebracht wird, die auf die russische Fertigungs-, Bau-, IT- und Telekommunikationsbranche abzielen und MetaStealer, eine Abspaltung der RedLine Stealer Malware, verwenden.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.