Opportunistische Bedrohungsakteure setzen relativ einfache Techniken und kostengünstige Cybercrime-Tools ein, um Windows-Sicherheitsfunktionen und Antiviren-Scanner zu umgehen – so die Ergebnisse des HP Wolf Security Threat Research Teams. HP Sure Click schützt Benutzer vor dieser Art von Angriffen – weshalb es HP ermöglichte, dessen Verhalten aufzuzeichnen. Der dazu gehörige Blog Post beschreibt auch die Analyse des Angriffs durch HP und erläutert Abhilfemaßnahmen für Unternehmen.

In diesem Fall nutzten die Angreifer eine Mischung aus einfachen, aber effektiven und cleveren Tricks, um die PCs der Opfer mit AsyncRAT zu infizieren. AsyncRAT ist ein Trojaner für den Fernzugriff, der vertrauliche Informationen stiehlt:

• Die Kunst der Täuschung: Was sagt ein Name aus? Indem sie ungewöhnliche Dateitypen (zum Beispiel Batch-Dateien) einfach als vertraute Dateien-Kennungen (wie PDF-Dateien) ausgeben, können Angreifer Nutzer dazu verleiten, bösartige Anhänge anzuklicken. Diese grundlegende Technik macht sich zunutze, dass Windows standardmäßig Dateierweiterungen ausblendet. Wenn also eine Batch-Datei (.bat) als »hello.pdf.bat« gespeichert wird, zeigt der Windows-Dateiexplorer diese als »hello.pdf« an. Diese Technik ist zwar nicht neu, wird aber immer häufiger von Bedrohungsakteuren eingesetzt.
• Einsen und Nullen: Die Angreifer blähen ihre bösartigen Dateien künstlich auf, indem sie sie mit Millionen von bedeutungslosen Einsen und Nullen auffüllen. Einige waren fast zwei Gigabyte groß – zu groß für viele Anti-Malware-Scanner, um sie zu analysieren. Damit umging die Malware kritische Erkennungsmaßnahmen. Da sich das Muster dieser künstlich »aufgeblasenen« Abschnitte wiederholt, lässt sich die Malware in eine nur wenige Megabyte große Archivdatei komprimieren – ideal für die Verbreitung der Malware in Spam-Kampagnen.
• Jetzt kommt der clevere Teil: Mehrsprachige Malware, denn durch die Verwendung mehrerer Programmiersprachen umgeht der Bedrohungsakteur die Erkennung. Cyberkriminelle verschlüsseln die Malware mit einem in Go geschriebenen Packer, bevor sie die Anti-Malware-Scanfunktionen deaktivieren, die sie normalerweise erkennen würden. Der Angriff wechselt dann zu C++, um mit dem Betriebssystem des Opfers zu interagieren und die .NET-Malware im Speicher auszuführen. Dies hinterlässt nur minimale Spuren auf dem PC.

o            Die speicherinterne Ausführung von .NET-Dateien in C++ erfordert tiefgreifende Kenntnisse der undokumentierten Windows-Interna. Allerdings sind Bedrohungsakteure in der Lage, auf diese Techniken über Tools zuzugreifen, die in Hackerforen verkauft werden.

»IT-versierte Bedrohungsakteure können einfache Tools verwenden, die leicht im Dark Web zu kaufen sind: Damit sind sie in der Lage, komplexe und ausgefeilte Angriffe durchzuführen«, erklärt Patrick Schläpfer, Malware-Analyst beim HP Wolf Security Threat Research Team. »Es ist wahrscheinlich, dass dieser spezielle Angriff von einer Einzelperson oder einer kleinen Gruppe durchgeführt wurde. Der Grund für diese Annahme: Für den Angriff wurde derselbe Server mit einer IP-Adresse genutzt, um die Spam-E-Mails zu verteilen und ein Command-and-Control-System einzurichten. Größere Bedrohungsgruppen wie QakBot generieren riesige Spam-Angriffe mit kompromittierten Anmeldeinformationen und verbinden sich über mehrere Proxy-Server zurück zu ihrer C2-Infrastruktur.«

https://threatresearch.ext.hp.com/do-you-speak-multiple-languages-malware-does/

Foto: freepik