GHOSTFORM RAT

Von Mezo in Malware, Tools zur Remoteverwaltung

Übersetzen Sie in:

GHOSTFORM ist ein .NET-basierter Remote-Access-Trojaner (RAT), der mehrere schädliche Funktionen in einer einzigen ausführbaren Datei vereint. Die Malware führt PowerShell-Skripte direkt im Arbeitsspeicher aus, wodurch die Wahrscheinlichkeit einer Erkennung durch herkömmliche Sicherheitstools sinkt. Um Sicherheitsmechanismen weiter zu umgehen, verwendet sie Techniken wie unsichtbare Windows-Formulare und verzögerte Ausführungstimer. Aufgrund seines unauffälligen Verhaltens und seiner umfangreichen Funktionen sollte jede Entdeckung von GHOSTFORM eine sofortige Entfernung und die Einleitung von Maßnahmen zur Reaktion auf den Sicherheitsvorfall auslösen.

Inhaltsverzeichnis

Angriffskette Eins: Mehrstufige Malware-Bereitstellung

Die erste Angriffskette beginnt mit der Zustellung eines passwortgeschützten RAR-Archivs, das eine gefälschte Anwendung enthält, die WinRAR nachempfunden ist. Sobald das Opfer das Archiv öffnet, wird ein Dropper namens SPLITDROP ausgeführt. Dieser Dropper installiert zwei weitere Schadsoftwarekomponenten: TWINTASK und TWINTALK.

SPLITDROP fordert zunächst ein Passwort vom Opfer an, um ein verstecktes Archiv zu extrahieren. Befindet sich das Archiv bereits auf dem System, wird die Ausführung abgebrochen. Andernfalls entschlüsselt der Dropper im Hintergrund eine eingebettete Nutzlast und zeigt dem Benutzer dabei eine irreführende Fehlermeldung an. Der entschlüsselte Inhalt wird im Verzeichnis „C:\ProgramData\PolGuid“ gespeichert. Anschließend wird die legitime ausführbare Datei „VLC.exe“ gestartet, um den Angriff fortzusetzen.

Nach dem Start lädt VLC.exe eine schädliche DLL-Bibliothek namens TWINTASK per DLL-Sideloading. Diese Komponente wartet auf Anweisungen des Angreifers und führt diese mithilfe von PowerShell aus. Mehrere Befehle dienen dazu, sich dauerhaft im System einzunisten und die nächste Phase des Angriffs einzuleiten. Im Rahmen dieses Prozesses startet ein Skript WingetUI.exe und erstellt Registry-Einträge, die sicherstellen, dass sowohl VLC.exe als auch WingetUI.exe bei jedem Systemneustart automatisch ausgeführt werden.

TWINTALK und TWINTASK: Koordinierte Befehlsausführung

Beim Ausführen von WingetUI.exe wird ein weiteres schädliches Modul namens TWINTALK geladen. Diese Komponente stellt eine Verbindung zum Command-and-Control-Server des Angreifers her und ruft Anweisungen ab. TWINTALK arbeitet mit TWINTASK zusammen, um Befehle auf dem kompromittierten Rechner auszuführen.

TWINTALK unterstützt drei primäre Befehlskategorien:

Befehlsausführung auf dem infizierten Gerät
Datei-Download von der Infrastruktur des Angreifers
Datei-Upload vom kompromittierten System zum Angreifer

Durch diese Fähigkeiten erlangen Angreifer weitreichende Kontrolle über die infizierte Umgebung.

Angriffskette Zwei: Direkte GHOSTFORM-Hinrichtung

Die zweite Angriffskette nutzt GHOSTFORM selbst, um alle Funktionen auszuführen, die in der ersten Kette von mehreren Komponenten übernommen werden. Anstatt mehrere Dateien bereitzustellen oder auf DLL-Sideloading zurückzugreifen, führt diese Variante PowerShell-Befehle direkt im Speicher aus.

Um unentdeckt zu bleiben, erstellt die Schadsoftware ein unsichtbares Windows-Formular, das die Ausführung verzögert, bevor die eigentliche Schadsoftware ausgeführt wird. Zusätzlich nutzt die Kampagne Google Forms als Teil eines Social-Engineering-Köders, um Opfer zur Ausführung der schädlichen Aktivität zu verleiten.

Ausweich- und Beharrlichkeitstechniken

GHOSTFORM nutzt mehrere Mechanismen, um die Entdeckung zu erschweren und den langfristigen Zugriff auf kompromittierte Systeme aufrechtzuerhalten. Die Malware verzögert ihre Aktivität absichtlich, indem sie ein nahezu unsichtbares Windows-Formular generiert, das einen Timer mit einer zufällig festgelegten Verzögerung ausführt, bevor die Ausführung fortgesetzt wird.

Es erstellt außerdem einen Mutex, um sicherzustellen, dass nur eine Instanz der Schadsoftware auf dem System ausgeführt wird, und generiert eine eindeutige Bot-Kennung zur Verfolgung infizierter Rechner. Solche Remote-Access-Trojaner werden häufig eingesetzt, um zusätzliche Schadsoftware einzuschleusen, sensible Daten und Dateien zu stehlen oder andere schädliche Aktionen im System des Opfers durchzuführen.

Zu den wichtigsten Fähigkeiten, die üblicherweise mit der Kampagne in Verbindung gebracht werden, gehören:

Ausbringung zusätzlicher Malware-Payloads
Diebstahl von Informationen und Dateien von infizierten Geräten
Remote-Befehlsausführung über PowerShell
Langfristige Persistenz innerhalb kompromittierter Systeme

ClickFix Social Engineering: Ein auf den Menschen ausgerichteter Infektionsvektor

Die Kampagne beschränkt sich nicht allein auf die Verbreitung von Schadsoftware. Sie nutzt auch eine Social-Engineering-Technik namens ClickFix , um Systeme zu kompromittieren. Angreifer erstellen überzeugende gefälschte Webseiten, die Benutzer dazu verleiten sollen, schädliche Befehle auszuführen.

Beispiele hierfür sind gefälschte Einladungen zu Cisco Webex-Meetings oder betrügerische Webformulare, die legitim erscheinen. Die Opfer werden angewiesen, Befehle auszuführen, die automatisch Schadsoftware herunterladen und ausführen und so unwissentlich die Kompromittierung auslösen.

Vermischung von Schadsoftware und Täuschung

Diese Kampagne demonstriert ein koordiniertes Vorgehen, das die Verbreitung technischer Schadsoftware mit psychologischer Manipulation kombiniert. Angreifer verteilen schädliche Dateien, die als harmlose Programme getarnt sind und WinRAR-Dienstprogrammen ähneln. Beim Öffnen dieser Dateien werden versteckte Schadsoftwarekomponenten in das Betriebssystem eingeschleust.

Nach der Installation läuft eine der Komponenten unbemerkt im Hintergrund und überprüft regelmäßig den Server des Angreifers auf verschlüsselte Anweisungen, die dann über PowerShell ausgeführt werden. Parallel dazu nutzen ClickFix-ähnliche Angriffe gefälschte Umfragen, irreführende Einladungen zu Besprechungen oder betrügerische Online-Formulare, um Nutzer zur Ausführung von Befehlen zu verleiten, die Schadsoftware herunterladen.

Durch die Kombination von hochentwickelten Malware-Tools wie TWINTASK, TWINTALK und GHOSTFORM mit sorgfältig ausgearbeiteten Social-Engineering-Techniken erhöhen Bedrohungsakteure die Erfolgsrate der Systemkompromittierung erheblich und behalten die dauerhafte Fernkontrolle über infizierte Geräte.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern

GHOSTFORM RAT

Angriffskette Eins: Mehrstufige Malware-Bereitstellung

TWINTALK und TWINTASK: Koordinierte Befehlsausführung

Angriffskette Zwei: Direkte GHOSTFORM-Hinrichtung

Ausweich- und Beharrlichkeitstechniken

ClickFix Social Engineering: Ein auf den Menschen ausgerichteter Infektionsvektor

Vermischung von Schadsoftware und Täuschung

Kommentar abgeben

Im Trend

Notifygear.com

BuP1w Ransomware

0apt Locker Ransomware

Am häufigsten gesehen

So beheben Sie den Fehler 'Druckertreiber ist nicht...

So beheben Sie 'macOS kann nicht überprüfen, ob...

Discord zeigt beim Teilen des Bildschirms schwarzen...