Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Tools zur Remoteverwaltung Malware-Kampagne mit zwei Nutzlasten

Malware-Kampagne mit zwei Nutzlasten

Von Mezo in Tools zur Remoteverwaltung, Adware
Übersetzen Sie in:

Eine neu entdeckte Malware-Kampagne erregt in der Cybersicherheits-Community große Aufmerksamkeit, da sie zwei unterschiedliche Bedrohungen gleichzeitig einsetzen kann. Ein einziger verschleierter Loader wird verwendet, um sowohl die Gh0st-RAT als auch CloverPlus auf demselben kompromittierten System zu installieren.

Diese Kombination ist ungewöhnlich und zugleich strategisch hoch. Gh0st RAT ermöglicht die vollständige Fernsteuerung des infizierten Rechners, während CloverPlus die Browseraktivitäten manipuliert, Werbekomponenten einblendet und durch aufdringliche Pop-ups Einnahmen generiert. Durch diesen doppelten Einsatz können Angreifer dauerhaft unbefugten Zugriff aufrechterhalten und die Infektion in Echtzeit monetarisieren.

Diese Kampagne verdeutlicht einen wachsenden Trend hin zur Auslieferung mehrerer Nutzlasten, bei dem Angreifer die operative Effizienz und den finanziellen Ertrag aus einem einzigen Angriff maximieren.

Verschleierungstaktiken: Die Nutzlast verbergen

Der Loader, der den Kern dieser Kampagne bildet, ist auf Tarnung ausgelegt. Er bettet zwei verschlüsselte Nutzdaten in seinen Ressourcenbereich ein und verwendet Verschleierungstechniken, um herkömmliche Erkennungsmechanismen zu umgehen.

Die Ausführung beginnt mit dem Adware-Modul CloverPlus, das als AdWare.Win32.CloverPlus identifiziert und mit einer ausführbaren Datei namens wiseman.exe verknüpft ist. Diese Komponente ändert die Browser-Starteinstellungen und blendet permanente Pop-up-Werbung ein.

Anschließend prüft der Loader seinen Ausführungspfad. Falls er nicht im %temp%-Verzeichnis des Systems ausgeführt wird, erstellt er dort eine Kopie von sich selbst, bevor er fortfährt. Im nächsten Schritt wird das Gh0st-RAT-Clientmodul entschlüsselt, das ebenfalls als verschlüsselte Ressource in der Malware-Binärdatei verborgen ist.

Nach der Entschlüsselung weist die Malware der Nutzlast einen zufälligen Dateinamen zu und speichert sie in einem zufällig benannten Ordner im Stammverzeichnis des Laufwerks C:\, was die Erkennung und Analyse zusätzlich erschwert.

Vom Land leben: Vertraute Werkzeuge, böswillige Absicht

Um die entschlüsselte Nutzlast auszuführen, nutzt die Schadsoftware das legitime Windows-Dienstprogramm rundll32.exe. Dieser Ansatz ermöglicht die Ausführung von Schadcode unter dem Deckmantel eines vertrauenswürdigen Systemprozesses und verringert so die Wahrscheinlichkeit, dass Sicherheitsmechanismen ausgelöst werden, erheblich.

Sobald Gh0st RAT aktiv ist, beginnt es mit der Profilerstellung des kompromittierten Systems, indem es eindeutige Kennungen wie die MAC-Adresse und die Seriennummer der Festplatte sammelt. Diese Daten werden verwendet, um das Opfer in der Kommando- und Kontrollinfrastruktur des Angreifers zu registrieren und so eine präzise Nachverfolgung und Verwaltung infizierter Rechner zu gewährleisten.

Persistenzmechanismen: Sicherstellung des langfristigen Zugriffs

Die Aufrechterhaltung des Zugriffs nach Systemneustarts ist ein Hauptziel dieser Kampagne. Gh0st RAT erreicht Persistenz durch mehrere tief im Betriebssystem eingebettete Techniken:

Änderung des Windows-Registrierungsschlüssels „Run“, um die automatische Ausführung beim Systemstart sicherzustellen
Registrierung einer schädlichen DLL im Pfad des Remotezugriffsdienstes unter SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Diese Methoden gewähren der Malware bei jedem Start des zugehörigen Dienstes SYSTEM-Berechtigungen, wodurch die Notwendigkeit weiterer Benutzerinteraktionen entfällt und die langfristige Kontrolle gestärkt wird.

Erkennung und Verteidigung: Indikatoren für eine Kompromittierung

Die Auswirkungen dieser Kampagne sind sowohl für Einzelpersonen als auch für Organisationen erheblich. Während die Adware-Komponente die Browserfunktionalität beeinträchtigt und die Wahrscheinlichkeit erhöht, dass schädliche Werbung angezeigt wird, ermöglicht die RAT-Komponente Datendiebstahl, Keylogger-Protokollierung, Umgehung von Sicherheitsvorkehrungen und dauerhaften privilegierten Zugriff.

Die Sicherheitsteams sollten wachsam bleiben und auf folgende Anzeichen einer Kompromittierung achten:

  • Ausführung von rundll32.exe, die DLLs oder nicht standardmäßige Dateierweiterungen aus ungewöhnlichen oder verdächtigen Verzeichnissen lädt
  • Prozessaktivität, die vom Ordner %temp% ausgeht
  • Unerlaubte Änderungen an den Run-Schlüsseln der Registrierung oder an den Konfigurationen des RemoteAccess-Dienstes
  • Nutzung von Ping-basierten Verzögerungen zur Umgehung der Sandbox-Erkennung
  • Ungewöhnliche DNS-Verkehrsmuster und unerwartete Änderungen an der Systemhosts-Datei

Die proaktive Überwachung und schnelle Reaktion auf diese Signale sind entscheidend, um die Risiken dieser ausgeklügelten Malware-Kampagne mit doppelter Bedrohung zu mindern.

Im Trend

Am häufigsten gesehen

Wird geladen...