Interlock RAT

Von Mezo in Tools zur Remoteverwaltung, Erweiterte, anhaltende Bedrohung (APT), Ransomware

Übersetzen Sie in:

Die Cyberkriminellen hinter der Interlock-Ransomware-Operation verstärken ihre Bemühungen mit einer neu entwickelten PHP-Variante ihres Remote-Access-Trojaners (RAT), Interlock RAT, auch bekannt als NodeSnake. Diese verbesserte Bedrohung wurde in einer groß angelegten Kampagne mit einem weiterentwickelten Übermittlungsmechanismus namens FileFix beobachtet, einem Ableger der bereits bekannten ClickFix-Technik. Diese Entwicklung markiert einen deutlichen Wandel in der Angriffsstrategie der Gruppe, erweitert ihre Reichweite und demonstriert eine zunehmende technische Raffinesse.

Inhaltsverzeichnis

Heimlicher Einstieg: Skripteinschleusung und Verkehrsumleitung

Die seit Mai 2025 aktive Kampagne beginnt mit kompromittierten Websites, denen ein scheinbar harmloser einzeiliger JavaScript-Schnipsel im HTML-Code injiziert wird. Dieses Skript fungiert als Traffic Distribution System (TDS) und nutzt IP-basierte Filterung, um Besucher gezielt auf gefälschte CAPTCHA-Verifizierungsseiten umzuleiten. Diese betrügerischen Seiten nutzen ClickFix-basierte Köder, um Benutzer zur Ausführung bösartiger PowerShell-Skripte zu verleiten. Das Ergebnis ist die Installation von Interlock RAT, wodurch Angreifer Zugang zum System des Opfers erhalten.

FileFix: Eine waffenfähige Lieferinnovation

Die jüngsten im Juni 2025 beobachteten Kampagnen zeigen die Verwendung von FileFix, einer weiterentwickelten Version von ClickFix, als zentralem Infektionsvektor. FileFix nutzt die Adressleiste des Windows-Datei-Explorers, um Benutzer durch Social Engineering zur Ausführung schädlicher Befehle zu bewegen. Ursprünglich im Juni 2025 als Proof-of-Concept demonstriert, wurde FileFix nun operationalisiert, um die PHP-Variante von Interlock RAT zu verbreiten. In einigen Fällen dient diese Bereitstellung als Vorläufer der Installation der traditionelleren, Node.js-basierten Variante.

Mehrstufige Nutzlasten und Tarnfähigkeiten

Nach der Bereitstellung leitet Interlock RAT die Host-Aufklärung und die Exfiltration von Systeminformationen im JSON-Format ein. Es prüft die Berechtigungsstufen (USER, ADMIN oder SYSTEM) und stellt Kontakt zu einem Remote-Command-and-Control-Server (C2) her. Zusätzliche Nutzdaten, entweder EXE- oder DLL-Dateien, werden zur Ausführung abgerufen.

Zu den Persistenzmechanismen gehören:
Ändern der Windows-Registrierung, um die Startausführung aufrechtzuerhalten.
Ermöglicht die seitliche Bewegung durch Remote Desktop Protocol (RDP)-Zugriff.

Eine weitere bemerkenswerte Umgehungstechnik ist die Verwendung von Cloudflare-Tunnel-Subdomains, die den tatsächlichen Standort des C2-Servers verschleiern. Fest codierte IP-Adressen dienen als Backup, um die Konnektivität bei Tunnelunterbrechungen aufrechtzuerhalten.

Der Bedrohung auf der Spur: Frühere Ziele und aktuelle Motive

Anfang 2025 war Interlock RAT an Angriffen auf lokale Behörden und Bildungseinrichtungen in Großbritannien beteiligt und nutzte dabei die Node.js-Variante. Die jüngste Umstellung auf PHP, eine gängige Webentwicklungssprache, deutet jedoch auf einen opportunistischeren Ansatz hin, der ein breiteres Branchenspektrum anspricht. Der Übergang zu PHP deutet auf eine taktische Entscheidung hin, die Infektionsvektoren zu erweitern und potenziell anfällige webbasierte Infrastrukturen auszunutzen.

Schlüsselindikatoren der Kampagne

Opfer und Cybersicherheitsexperten sollten auf die folgenden Kennzeichen der jüngsten Operationen von Interlock achten:

Anfänglicher Angriffsvektor:

Einschleusen einzelner JavaScript-Zeilen auf legitimen, aber kompromittierten Websites.
Umleitung auf gefälschte CAPTCHA-Seiten mithilfe von IP-Filterung.

Malware-Verhalten nach der Infektion:

Host-Aufklärung und Exfiltration von Systeminformationen im JSON-Format.
Berechtigungsprüfungen und Remote-Payload-Ausführung.
Registrierungsbasierte Persistenz und RDP-Ausnutzung für die Bewegung.

Fazit: Das wachsende Bedrohungsprofil der Interlock Group

Das Auftauchen der PHP-Variante von Interlock RAT zeigt die wachsende Vielseitigkeit der Gruppe und ihren Willen, Abwehrmaßnahmen immer einen Schritt voraus zu sein. Durch die Nutzung von Webskripten und nativen Systemfunktionen verwischen Interlock-Angreifer die Grenzen zwischen traditioneller Malware-Verbreitung und kreativem Missbrauch alltäglicher Systemfunktionen. Sicherheitsteams sollten wachsam bleiben und mehrschichtige Abwehrmaßnahmen implementieren, um solche sich entwickelnden Bedrohungen zu erkennen und zu blockieren.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern

Interlock RAT

Heimlicher Einstieg: Skripteinschleusung und Verkehrsumleitung

FileFix: Eine waffenfähige Lieferinnovation

Mehrstufige Nutzlasten und Tarnfähigkeiten

Der Bedrohung auf der Spur: Frühere Ziele und aktuelle Motive

Schlüsselindikatoren der Kampagne

Fazit: Das wachsende Bedrohungsprofil der Interlock Group

Kommentar abgeben

Im Trend

Gerolax Krypto-Betrug

Betrug bei der Auftragserteilung

Wild Nature

Am häufigsten gesehen

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...

Discord steckt auf grauem Bildschirm fest