SLOTHFULMEDIA

SlothfulMedia ist ein Malware-Dropper, der Gegenstand eines Berichts des Ministeriums für innere Sicherheit (DHS) war, in dem die Ergebnisse der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) und der Cyber National Mission Force (CNMF) kombiniert wurden. Die Malware-Bedrohung soll zwei zusätzliche Dateien auf dem gefährdeten System ablegen - einen RAT (Remote Access Trojan), während die andere Datei für das Löschen der RAT verantwortlich ist, nachdem die Persistenz erreicht wurde.

Die Haupt-Dropper-Datei hat die Aufgabe, die RAT-Nutzdaten als Datei mit dem Namen 'mediaplayer.exe' herunterzuladen und im Ordner ' % AppData% \ Media \ ' abzulegen. Eine 'media.lnk'-Datei wird ebenfalls im selben Pfad abgelegt. Anschließend wird eine Datei im Ordner ' % TEMP% ' heruntergeladen, der ein fünfstelliger Zufallsname vergeben wird und die mit der Erweiterung .'exe 'angehängt wird. Um sicherzustellen, dass es dem Benutzer schwerer fällt, diese Datei zu bemerken, wird sie mit einem 'versteckten' Attribut erstellt. Die Dropper-Datei ist auch für die Erstellung des Persistenzmechanismus der RAT verantwortlich. Dies wird erreicht, indem ein 'TaskFrame'-Prozess erstellt wird, der die RAT bei jedem Systemstart ausführt. Die Kommunikation mit der Command-and-Control-Infrastruktur (C2, C&C) erfolgt über HTTP- und HTTPS-Anforderungen an die Domäne 'www [.] Sdvro.net'.

Die RAT-Nutzlast selbst kann die vollständige Kontrolle über den gefährdeten Computer übernehmen. Die Datenerfassungsaktivität wird gestartet, indem ein Screenshot des Desktops erstellt, "Filter3.jpg" genannt und im lokalen Verzeichnis abgelegt wird. Anschließend werden verschiedene Systemdaten wie Computer- und Benutzername, Betriebssystemversion, Speichernutzung und verbundene logische Laufwerke erfasst. Die Informationen werden in eine Zeichenfolge umgewandelt, dann gehasht und im Rahmen der anfänglichen Kommunikation mit dem C2-Server gesendet. Wenn alles reibungslos läuft, wartet die RAT auf einen bestimmten Befehl, der auf dem infizierten Computer ausgeführt wird. Es kann Dateien bearbeiten, Prozesse ausführen und stoppen, offene Ports, Laufwerke, Dateien, Verzeichnisse und Dienste auflisten, Screenshots machen, Änderung des Registers, sowie andere bedrohliche Aktivitäten.

Die Datei mit dem vom Dropper gelieferten zufälligen Namen ist dafür verantwortlich, einige der verräterischen Anzeichen für die Aktivität der RAT zu beseitigen. Die Registrierung wird geändert, um sicherzustellen, dass die ausführbare Hauptdatei der Malware beim nächsten Neustart des Systems gelöscht wird. Der verwendete Registrierungsschlüssel lautet:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Daten: \ ?? \ C: \ Benutzer \ \ AppData \ Local \ Temp \ wHPEO.exe. '

Der Internetverlauf des Benutzers wird auch durch Löschen der Datei 'index.dat' gelöscht.