Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Phishing PHANTOMPULS RATTE

PHANTOMPULS RATTE

Von Mezo in Phishing, Tools zur Remoteverwaltung
Übersetzen Sie in:

Eine ausgeklügelte Social-Engineering-Kampagne nutzt Obsidian als Einfallstor, um einen bisher unbekannten Windows-Remote-Access-Trojaner namens PHANTOMPULSE einzuschleusen. Die Kampagne zielt gezielt auf Personen aus dem Finanz- und Kryptowährungssektor ab und nutzt das Vertrauen in legitime Tools aus, um herkömmliche Sicherheitsvorkehrungen zu umgehen.

Operation REF6598: Täuschung durch professionelle Netzwerke

Diese von Cybersicherheitsforschern als REF6598 bezeichnete Kampagne nutzt fortgeschrittene Social-Engineering-Techniken über LinkedIn und Telegram. Die Zielpersonen werden zunächst unter dem Vorwand einer Zusammenarbeit mit einer Risikokapitalgesellschaft kontaktiert. Die Gespräche werden anschließend in Telegram-Gruppenchats mit fiktiven „Partnern“ verlagert, wodurch eine überzeugende Fassade der Legitimität geschaffen wird.

Innerhalb dieser Gruppen drehen sich die Diskussionen um Finanzdienstleistungen und Liquiditätsstrategien für Kryptowährungen, was die Glaubwürdigkeit stärkt. Die Opfer werden schließlich angewiesen, über einen in der Cloud gehosteten Obsidian-Tresor mit den bereitgestellten Zugangsdaten auf ein gemeinsames Dashboard zuzugreifen.

Der versteckte Auslöser: Böswillige Tresoraktivierung

Die Infektionskette wird aktiviert, sobald das Opfer den gemeinsamen Tresor in Obsidian öffnet. In diesem Stadium wird der Benutzer aufgefordert, die Synchronisierung für „Installierte Community-Plugins“ zu aktivieren – eine standardmäßig deaktivierte Funktion. Diese manuelle Aktion ist entscheidend, da sie die Ausführung eingebetteter Schadsoftware ermöglicht.

Angreifer nutzen legitime Plugins, insbesondere Shell Commands und Hider, um unautorisierten Code auszuführen. Während Shell Commands die Ausführung ermöglicht, verbirgt Hider Benutzeroberflächenelemente wie Statusleiste und Tooltips und verringert so die Entdeckungswahrscheinlichkeit. Der Angriff beruht vollständig darauf, den Benutzer dazu zu bringen, die Plugin-Synchronisierung zu aktivieren und dadurch die integrierten Sicherheitsvorkehrungen zu umgehen.

Ausnutzung von Steuerhinterziehung durch Planung: Leben von legitimen Merkmalen

Diese Kampagne zeichnet sich durch den strategischen Missbrauch vertrauenswürdiger Anwendungsfunktionen aus, anstatt Software-Schwachstellen auszunutzen. Zu den wichtigsten Merkmalen gehören:

  • Schadsoftware wird in JSON-Konfigurationsdateien eingebettet, wodurch die Wahrscheinlichkeit sinkt, dass sie von herkömmlichen Virenschutzprogrammen erkannt wird.
  • Die Ausführung erfolgt über eine signierte Electron-basierte Anwendung, was die Erkennung über den übergeordneten Prozess erschwert.
  • Persistenz und Befehlsausführung hängen vollständig von legitimen Plugin-Mechanismen innerhalb der Anwendung ab.

Windows-Infektionskette: Vom Loader zur speicherresidenten Hintertür

Auf Windows-Systemen initiiert der Angriff eine PowerShell-basierte Ausführungskette, die einen Zwischenlader namens PHANTOMPULL bereitstellt. Dieser Lader entschlüsselt PHANTOMPULSE und startet es direkt im Arbeitsspeicher, wodurch eine Erkennung auf der Festplatte umgangen wird.

PHANTOMPULSE nutzt Blockchain-basierte Command-and-Control-Kommunikation (C2) durch Abfragen des Ethereum-Netzwerks. Es ruft die letzte Transaktion ab, die mit einer fest codierten Wallet-Adresse verknüpft ist, um den zugehörigen C2-Server dynamisch zu ermitteln. Die Kommunikation erfolgt über WinHTTP und ermöglicht so Datenexfiltration, Befehlsabruf und Ausführungsberichte.

Die Malware unterstützt eine breite Palette von Fernsteuerungsfunktionen:

  • injizieren: Injiziert Shellcode, DLLs oder ausführbare Dateien in Prozesse
  • drop: Schreibt und führt Dateien auf der Festplatte aus
  • Screenshot: Erfasst und lädt Bildschirmdaten hoch
  • Tastaturprotokollierung: Aktiviert oder deaktiviert die Protokollierung der Tastatureingaben.
  • Deinstallation: Entfernt Persistenzmechanismen und löscht Artefakte.
  • elevate: Eskaliert die Berechtigungen auf SYSTEM mittels COM-Berechtigungserweiterung
  • Herabstufung: Reduziert die Berechtigungen von SYSTEM auf Administratorebene

macOS-Variante: Verschleierung und flexible C2-Infrastruktur

Unter macOS nutzt der Angriff ein verschleiertes AppleScript, das über denselben Plugin-Mechanismus ausgeliefert wird. Das Skript durchläuft eine vordefinierte Liste von Domains und verwendet Telegram als Ausweich-Deaddrop-Resolver zur Ermittlung des C2-Servers. Dieses Design ermöglicht einen schnellen Infrastrukturwechsel und macht herkömmliche Strategien zur Domainblockierung wirkungslos.

Im letzten Schritt wird eine sekundäre Nutzlast mittels osascript abgerufen und ausgeführt. Da die C2-Server zum Zeitpunkt der Analyse jedoch inaktiv waren, sind die genauen Fähigkeiten dieser Nutzlast noch nicht bekannt.

Angriffsergebnis und strategische Implikationen

Der beobachtete Einbruchsversuch war letztlich erfolglos, da Abwehrmaßnahmen den Angriff erkannten und blockierten, bevor die Ziele erreicht werden konnten. Dennoch verdeutlicht REF6598 eine signifikante Weiterentwicklung der Methodik von Bedrohungsakteuren.

Durch die Ausnutzung vertrauenswürdiger Anwendungen und benutzergesteuerter Konfigurationsänderungen umgehen Angreifer effektiv herkömmliche Sicherheitskontrollen. Dieser Ansatz unterstreicht einen wachsenden Trend: die Instrumentalisierung legitimer Softwarefunktionen als verdeckte Ausführungskanäle. Dies verdeutlicht die Notwendigkeit erhöhter Aufmerksamkeit der Nutzer und der Verhaltensüberwachung in der Cybersicherheitsabwehr.

Im Trend

Am häufigsten gesehen

Wird geladen...