Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Banking-Trojaner Blackmoon Banking Trojan

Blackmoon Banking Trojan

Von Mezo in Banking-Trojaner, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Cybersicherheitsexperten haben eine aktive, mehrstufige Angriffskampagne auf indische Privatpersonen und Organisationen aufgedeckt. Die Operation scheint Cyberspionage zu sein und nutzt ein mehrschichtiges Hintertürsystem, um langfristigen, verdeckten Zugriff auf kompromittierte Systeme zu erlangen.

Phishing als erster Infektionsvektor

Die Kampagne beginnt mit Phishing-E-Mails, die als offizielle Korrespondenz des indischen Finanzamts getarnt sind. Diese Nachrichten verleiten die Empfänger dazu, ein ZIP-Archiv unter dem Vorwand von Steuerstrafbescheiden herunterzuladen. Nach dem Öffnen des Archivs wird die Infektionskette in Gang gesetzt, die letztendlich eine dauerhafte Überwachung und den Datendiebstahl ermöglicht.

Bewaffnetes Archiv und heimliche Hinrichtung

Die gelieferte ZIP-Datei enthält fünf Komponenten, die bis auf eine Köderdatei namens „Inspection Document Review.exe“ alle versteckt sind. Diese Datei wird missbraucht, um eine schädliche DLL-Datei, die im Archiv eingebettet ist, einzuschleusen. Die manipulierte DLL führt Prüfungen zur Umgehung des Debuggers durch und kommuniziert mit einem entfernten Command-and-Control-Server, um die nächste Schadsoftware abzurufen.

Privilegienausweitung und Prozessmaskierung

Der heruntergeladene Shellcode nutzt eine COM-basierte Technik, um die Benutzerkontensteuerung (UAC) zu umgehen und erhöhte Berechtigungen zu erlangen. Anschließend verändert er seinen eigenen Prozessumgebungsblock (PEB), um den legitimen Windows-Prozess explorer.exe zu imitieren und so die Wahrscheinlichkeit einer Entdeckung durch Sicherheitstools und Analysten zu verringern.

Adaptive Nutzlastzuführung

In einem nachfolgenden Schritt wird die Datei „180.exe“ von der Domain eaxwwyr[.]cn heruntergeladen. Diese Datei ist ein 32-Bit-Inno-Setup-Installationsprogramm, das seinen Ausführungsablauf je nach Vorhandensein bestimmter Sicherheitssoftware auf dem infizierten Rechner anpasst und es der Malware ermöglicht, ihre Ausweichtaktiken dynamisch zu verändern.

Umgehung von Sicherheitssoftware und Blackmoon-Verknüpfung

Wird die Schutzsoftware erkannt, umgeht die Malware deren direkte Deaktivierung. Stattdessen simuliert sie Mausbewegungen, um die Sicherheitsoberfläche zu bedienen und unbemerkt schädliche Komponenten zur Ausschlussliste hinzuzufügen. Diese Aktivität wird durch eine DLL ermöglicht, die als Variante der Malware-Familie Blackmoon (KRBanker) eingestuft wird. Diese Familie wird seit ihrem Auftreten im Jahr 2015 mit Angriffen auf Unternehmen in Südkorea, den USA und Kanada in Verbindung gebracht.

Missbrauch eines legitimen Unternehmensinstruments

Eine der zur Ausschlussliste hinzugefügten Dateien ist „Setup.exe“, ein legitimes Hilfsprogramm der Firma SyncFutureTec Company Limited. Dieses Programm legt „mysetup.exe“ ab, das als SyncFuture TSM (Terminal Security Management) identifiziert wurde, eine kommerzielle Fernüberwachungs- und -verwaltungslösung der Firma Nanjing Zhongke Huasai Technology Co., Ltd. Obwohl sie für die Unternehmensverwaltung konzipiert wurde, wird sie in dieser Kampagne als umfassende Spionageplattform missbraucht.

Unterstützende Komponenten und Systemmanipulation

Nach der Bereitstellung werden zusätzliche Elemente installiert, um die Umgebung vorzubereiten und zu steuern:

  • Batch-Skripte, die benutzerdefinierte Verzeichnisse erstellen, Zugriffskontrolllisten ändern, Desktop-Berechtigungen anpassen und Aufräum- und Wiederherstellungsaufgaben durchführen.
  • Eine Orchestrator-Executable, 'MANC.exe', die Dienste koordiniert und eine umfassende Aktivitätsprotokollierung ermöglicht.

Operative Auswirkungen und strategische Bedeutung

Durch den Missbrauch eines legitimen Unternehmenswerkzeugs in Verbindung mit speziell entwickelter Malware erlangen die Angreifer die Fernsteuerung infizierter Endgeräte, kontinuierliche Transparenz der Benutzeraktivitäten und einen zentralen Mechanismus zur Exfiltration sensibler Daten. Die koordinierte Nutzung von DLL-Sideloading, Rechteausweitung, Umnutzung kommerzieller Werkzeuge, Anti-Analyse-Maßnahmen und die Umgehung von Sicherheitssoftware zeugen von einem hohen Maß an technischer Reife und der klaren Absicht, die Kontrolle über kompromittierte Systeme dauerhaft und detailliert zu behalten.

Im Trend

Am häufigsten gesehen

Wird geladen...