Warnung! Neue RAT- und Infostealer-Malware in Phishing-Kampagne verbreitet

Sicherheitsforscher von HP haben ein neues bösartiges Tool bzw. ein Bündel von Tools verfolgt, mit denen Malware verbreitet und Informationen von Opfersystemen gestohlen werden.

Die anfängliche Nutzlast der Angriffe in dieser neuen Kampagne ist ein in JavaScript codierter Datei-Downloader, der wiederum verwendet wird, um eine Reihe verschiedener sekundärer Nutzlasten zu verteilen, die aus Remote-Access-Trojanern, Anmeldeinformationen und Tools zur Informationsexfiltration bestehen. Das HP-Forschungsteam hat die Bedrohung aufgrund der Art der sekundären Nutzlasten, die bei den Angriffen verwendet werden, als RATDispenser bezeichnet.

Forscher fanden heraus, dass RATDispenser verwendet wurde, um bis zu acht verschiedene Malware-Familien zu verteilen. Diese Vielfalt führte auch dazu, dass RATDispenser selbst unter Verwendung eines Malware-as-a-Service-Schemas an Bedrohungsakteure auslizenziert werden kann.

Noch bevor der JavaScript-Downloader in das System des Opfers eingeführt wird, ist der allererste Schritt der Infektionskette eine klassische Phishing-Kampagne.

Die Opfer erhalten eine gefälschte „Produktbestellung"-E-Mail, die eine Textdatei mit Informationen zu der gefälschten Bestellung enthält, die von den Tätern behauptet wird. Der Versuch, die Textdatei zu öffnen, startet die Installation des Downloaders. Der JavaScript-Code in der anfänglichen Nutzlast wird weiter verschleiert, um automatisierte Abwehrmaßnahmen zu umgehen.

Es wurde festgestellt, dass der RATDispenser einige beliebte Remote-Access-Trojaner wie WSHRAT und STRRAT verteilt und herunterlädt, wobei nur diese beiden die Mehrheit der beobachteten Nutzlasten ausmachen.

Noch besorgniserregender ist, dass nur 11% der Anti-Malware-Tools, die in Tests mit der neuen Malware verwendet wurden, diese erkennen konnten. Diese Umgehungsstufe kann für potenzielle Opfer eine Menge Ärger bedeuten, selbst wenn sie eine Sicherheitssuite installiert haben.

Trojaner für den Fernzugriff und Keylogger- oder Infostealer-Malware sind besonders heimtückisch, weil sie ihr Bestes tun, um eine Entdeckung zu vermeiden, sobald sie auf einem Opfersystem ihren Weg finden. Es gibt keine zerstörerische Aktion, kein blinkendes rotes Ransomware-Zeichen, keinen Verlust der Systemstabilität. Dies bedeutet, dass die Angreifer, die diese bösartigen Tools betreiben, möglicherweise sehr lange auf einem Hostsystem verbringen und Daten, Passwörter und Tastenanschläge herausfiltern können.