DRILLAPP-Hintertür
Cybersicherheitsexperten haben eine neue Bedrohungskampagne gegen ukrainische Organisationen identifiziert, die auf die Beteiligung von Akteuren mit Verbindungen zu Russland hindeutet. Die erstmals im Februar 2026 beobachtete Aktivität weist technische Ähnlichkeiten mit einer früheren Operation der Gruppe Laundry Bear (auch bekannt als UAC-0190 oder Void Blizzard) auf. Diese Kampagne zielte auf ukrainische Streitkräfte ab und setzte die Malware-Familie PLUGGYAPE ein.
Die neueste Attacke schleust eine JavaScript-basierte Hintertür in den Microsoft Edge-Browser ein. Die von Forschern als DRILLAPP bezeichnete Schadsoftware nutzt Browserfunktionen aus, um Dateien hoch- und herunterzuladen, auf das Mikrofon zuzugreifen und Bilder von der Webcam des Opfers aufzunehmen.
Angreifer nutzen Social-Engineering-Taktiken, um die Schadsoftware zu verbreiten. Köder, die sich auf Rechtsangelegenheiten oder wohltätige Zwecke beziehen, sollen Opfer dazu verleiten, die schädlichen Dateien zu öffnen und so die Infektionskette zu starten.
Inhaltsverzeichnis
Täuschende Lockstoffe und Erstinfektionsmethode
Die Kampagne wurde in zwei unterschiedlichen Varianten beobachtet. Die erste Version, die Anfang Februar 2026 entdeckt wurde, nutzt eine Windows-Verknüpfungsdatei (LNK) als ersten Verbreitungsmechanismus. Beim Ausführen der Verknüpfung wird eine HTML-Anwendungsdatei (HTA) im temporären Verzeichnis des Systems erstellt. Diese HTA-Datei ruft anschließend ein Skript ab, das auf dem legitimen Paste-Sharing-Dienst Pastefy gehostet wird.
Um sich dauerhaft auf kompromittierten Systemen einzunisten, kopieren die Angreifer die schädliche LNK-Datei in den Windows-Autostartordner und stellen so sicher, dass sie nach jedem Neustart automatisch ausgeführt wird. Sobald die Infektionskette beginnt, werden den Opfern URLs mit irreführenden Inhalten angezeigt, darunter Anleitungen zur Installation von Starlink oder Hinweise auf die ukrainische Hilfsorganisation „Come Back Alive Foundation“.
Die HTA-Datei wird schließlich über den Microsoft Edge-Browser im Headless-Modus gestartet, wodurch der Browser das von Pastefy abgerufene, verschleierte Skript ausführen kann, ohne ein normales Browserfenster anzuzeigen.
Ausnutzung von Browserparametern für den unbemerkten Zugriff
Um seine Fähigkeiten maximal auszuschöpfen, startet der bösartige Prozess den Edge-Browser mit mehreren Parametern, die die eingebauten Sicherheitsvorkehrungen schwächen und einen unberechtigten Zugriff auf sensible Systemressourcen ermöglichen.
Diese Parameter ermöglichen es der Browserinstanz, gängige Sicherheitsvorkehrungen zu umgehen und Aktionen auszuführen, die normalerweise durch Browsersicherheitsmodelle eingeschränkt sind. Die Konfiguration ermöglicht es der Schadsoftware, auf lokale Dateien zuzugreifen, Audio- und Videostreams aufzuzeichnen und Bildschirmaktivitäten zu protokollieren, ohne dass eine Interaktion des Opfers erforderlich ist.
Zu den wichtigsten Browserparametern, die bei dem Angriff verwendet wurden, gehören:
--no-sandbox
--disable-web-security
--allow-file-access-from-files
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--disable-user-media-security
Durch den Missbrauch dieser Einstellungen wird der Browser zu einer funktionalen Komponente der Malware-Infrastruktur und nicht nur zu einer Verbreitungsplattform.
Browserbasierte Hintertür- und Überwachungsfunktionen
Das DRILLAPP-Artefakt fungiert als leichtgewichtige, aber vielseitige Hintertür. Nach der Aktivierung ermöglicht es Angreifern die Interaktion mit dem infizierten System über browserbasierte Funktionen und verwandelt den Browser so effektiv in ein Fernüberwachungswerkzeug.
Die Schadsoftware ist in der Lage, verschiedene Operationen durchzuführen, die eine umfassende Überwachung und Datenerfassung von kompromittierten Geräten ermöglichen.
Zu den Kernkompetenzen gehören:
- Hoch- und Herunterladen von Dateien vom lokalen System
- Audioaufnahme über das Gerätemikrofon
- Videoaufnahme über die Webcam
- Screenshots der Systemanzeige erstellen
- Erzeugung eines einzigartigen Geräte-Fingerabdrucks mithilfe von Canvas-Fingerprinting-Techniken
Bei der ersten Ausführung erzeugt die Schadsoftware einen Geräte-Fingerabdruck und nutzt Pastefy als „Dead-Drop-Resolver“, um eine WebSocket-Adresse für die Befehls- und Kontrollkommunikation zu ermitteln. Diese Architektur ermöglicht es Angreifern, infizierte Systeme dynamisch auf ihre operative Infrastruktur umzuleiten.
Die Hintertür übermittelt neben dem vermuteten geografischen Standort des Opfers auch den Geräte-Fingerabdruck. Der Standort wird anhand der Zeitzone des Systems ermittelt und mit einer vordefinierten Liste abgeglichen, die unter anderem Großbritannien, Russland, Deutschland, Frankreich, China, Japan, die USA, Brasilien, Indien, die Ukraine, Kanada, Australien, Italien, Spanien und Polen umfasst. Stimmt die Zeitzone mit keiner dieser Regionen überein, geht die Schadsoftware standardmäßig davon aus, dass sich das System in den USA befindet.
Weiterentwicklung der Techniken in der zweiten Kampagnenvariante
Ende Februar 2026 tauchte eine zweite Version der Kampagne auf, die einige Änderungen mit sich brachte, die grundlegende Angriffsstruktur aber beibehielt. Anstatt auf LNK-Verknüpfungsdateien zu setzen, nutzt die aktualisierte Variante Windows-Systemsteuerungsmodule als primären Verbreitungsmechanismus.
Die Backdoor-Komponente selbst wurde ebenfalls funktional verbessert. Diese Erweiterungen ermöglichen es der Malware, tiefgreifendere Dateisystemoperationen durchzuführen und ihre Fähigkeit zur Datenexfiltration aus infizierten Umgebungen zu verbessern.
Zu den bemerkenswerten Verbesserungen gehören die rekursive Dateiaufzählung, das Hochladen von Dateien in Stapelverarbeitung und die Möglichkeit, beliebige Dateien direkt auf das kompromittierte System herunterzuladen.
Umgehen von JavaScript-Beschränkungen mit Chromium-Debugging-Tools
Standardmäßige JavaScript-Sicherheitsbeschränkungen verhindern normalerweise, dass externer Code Dateien direkt auf das System eines Opfers herunterlädt. Um diese Einschränkung zu umgehen, nutzen Angreifer das Chrome DevTools Protocol (CDP), eine interne Debugging-Schnittstelle, die von Chromium-basierten Browsern verwendet wird.
Der Zugriff auf CDP ist nur möglich, wenn der Browser mit aktiviertem Parameter `--remote-debugging-port` gestartet wird. Durch Aktivierung dieser Debugging-Funktion können Angreifer das Browserverhalten programmatisch steuern und übliche clientseitige Beschränkungen umgehen, wodurch sie ansonsten blockierte Datei-Downloads ermöglichen.
Frühe Entwicklungsindikatoren und experimentelle Infrastruktur
Es gibt Hinweise darauf, dass die Schadsoftware noch aktiv weiterentwickelt wird. Eine frühe Variante, die am 28. Januar 2026 entdeckt wurde, kommunizierte ausschließlich mit der Domain „gnome.com“, anstatt ihre primäre Nutzlast von Pastefy abzurufen.
Dieses Verhalten deutet darauf hin, dass die Angreifer möglicherweise noch an der Verfeinerung ihrer Infrastruktur und der operativen Fähigkeiten der Hintertür arbeiten.
Browsermissbrauch als neue Umgehungsstrategie
Einer der wichtigsten Aspekte der Kampagne ist die gezielte Nutzung eines Webbrowsers als primäre Ausführungsumgebung für die Hintertür. Dieser Ansatz verdeutlicht einen wachsenden Trend, bei dem Angreifer legitime Software missbrauchen, um einer Entdeckung zu entgehen.
Browser bieten Angreifern mehrere Vorteile. Sie sind weit verbreitet und gelten üblicherweise als harmlose Prozesse, wodurch die Wahrscheinlichkeit eines sofortigen Verdachts sinkt. Darüber hinaus können Browser-Debugging-Parameter leistungsstarke Funktionen freischalten, die ansonsten eingeschränkte Aktionen ermöglichen, wie beispielsweise das Herunterladen von Dateien aus der Ferne und umfassenden Systemzugriff.
Darüber hinaus behalten Browser legitime Berechtigungen zur Interaktion mit sensiblen Hardware-Ressourcen, einschließlich Mikrofonen, Kameras und Bildschirmaufnahmemechanismen, was es Angreifern ermöglicht, Überwachungsaktivitäten durchzuführen, während sie sich in das normale Systemverhalten einfügen.
