Node.js-Malware zielt auf Krypto-Nutzer mit gefälschten Installern

MÜNCHEN (IT BOLTWISE) – Eine neue Malware-Kampagne, die auf Node.js basiert, hat es auf Krypto-Nutzer abgesehen. Dabei werden gefälschte Installer von bekannten Plattformen wie Binance und TradingView verwendet, um Schadsoftware zu verbreiten.

In der Welt der Cyberkriminalität sind Kryptowährungen ein beliebtes Ziel für Angreifer. Eine aktuelle Kampagne nutzt Node.js, um Malware zu verbreiten, die darauf abzielt, sensible Informationen von Nutzern zu stehlen. Diese Kampagne, die erstmals im Oktober 2024 entdeckt wurde, lockt Nutzer mit gefälschten Installern von bekannten Krypto-Plattformen wie Binance und TradingView. Die Angreifer erstellen täuschend echte Webseiten, die den Anschein erwecken, als würden sie legitime Software anbieten. Sobald der Nutzer den Installer herunterlädt, wird eine dynamische Linkbibliothek namens ‘CustomActions.dll’ aktiviert. Diese Bibliothek sammelt grundlegende Systeminformationen und richtet eine dauerhafte Präsenz auf dem betroffenen System ein, indem sie geplante Aufgaben erstellt. Um den Betrug aufrechtzuerhalten, öffnet die DLL ein Browserfenster, das die echte Krypto-Handelsseite anzeigt. Parallel dazu werden PowerShell-Befehle ausgeführt, die zusätzliche Skripte von einem entfernten Server herunterladen. Diese Skripte sorgen dafür, dass der laufende PowerShell-Prozess und das aktuelle Verzeichnis von der Überprüfung durch Microsoft Defender for Endpoint ausgeschlossen werden. Dies ist ein Versuch, die Entdeckung der Malware zu vermeiden. Nachdem die Ausschlüsse eingerichtet sind, wird ein verschleierter PowerShell-Befehl ausgeführt, um weitere Skripte von entfernten URLs zu laden. Diese Skripte sammeln umfangreiche Informationen über das Betriebssystem, das BIOS, die Hardware und die installierten Anwendungen. Alle erfassten Daten werden in JSON-Format umgewandelt und über eine HTTPS-POST-Anfrage an den Command-and-Control-Server gesendet. In einem alternativen Infektionsablauf, der von Microsoft beobachtet wurde, wird die ClickFix-Strategie eingesetzt, um die Inline-Ausführung von JavaScript zu ermöglichen. Dabei wird ein bösartiger PowerShell-Befehl verwendet, um die Node.js-Binärdatei herunterzuladen und JavaScript-Code direkt auszuführen. Diese Inline-JavaScripts führen Netzwerkerkennungsaktivitäten durch, um wertvolle Ziele zu identifizieren, tarnen den C2-Verkehr als legitime Cloudflare-Aktivität und erlangen Persistenz durch die Modifikation von Windows-Registry-Schlüsseln. Node.js, eine weit verbreitete und vertrauenswürdige Plattform, wird von Entwicklern genutzt, um Frontend- und Backend-Anwendungen zu erstellen. Doch auch Bedrohungsakteure nutzen diese Eigenschaften, um Malware mit legitimen Anwendungen zu verschmelzen, herkömmliche Sicherheitskontrollen zu umgehen und in Zielumgebungen zu bestehen. Diese Enthüllung erfolgt zeitgleich mit der Entdeckung einer gefälschten PDF-zu-DOCX-Konverter-Seite, die die ClickFix-Methode nutzt, um Opfer dazu zu bringen, verschlüsselte PowerShell-Befehle auszuführen, die letztlich die SectopRAT-Malware installieren. Die Bedrohungsakteure haben die Benutzeroberfläche der echten Plattform akribisch nachgebildet und ähnlich aussehende Domainnamen registriert, um Nutzer zu täuschen. Phishing-Kampagnen wurden ebenfalls beobachtet, die ein PHP-basiertes Kit verwenden, um Mitarbeiter von Unternehmen mit HR-Themen zu ködern und unbefugten Zugriff auf Gehaltsportale zu erlangen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!