ZxxZ-Trojaner

Der ZxxZ-Trojaner ist eine bisher unbekannte Malware-Bedrohung, die als Teil der schädlichen Operationen eingesetzt wird, die der Gruppe Bitter ATP (Advanced Persistent Threat) zugeschrieben werden. Details über die Bedrohung selbst sowie die Angriffskampagne wurden der Öffentlichkeit in einem Bericht der Forscher von Cisco Talos enthüllt. Das Hauptziel des ZxxZ-Trojaners ist die Regierung von Bangladesch, und das wahrscheinliche Ziel ist Cyberspionage und Datendiebstahl.

Die Bedrohung wird als ausführbare 32-Bit-Windows-Datei auf den betroffenen Geräten bereitgestellt. Es ist in der Lage, zusätzliche beschädigte Module abzurufen und dann auszuführen. Diese Komponenten werden auf den infizierten Computern als Dateien mit generischen Namen wie „ntfsc.exe“, „Update.exe“ usw. abgelegt. Die Module werden im lokalen Anwendungsdatenordner gespeichert und als Windows-Sicherheitsupdate ausgeführt.

Der ZxxZ-Trojaner ist mit mehreren Anti-Erkennungsfunktionen ausgestattet, darunter verschleierte Zeichenfolgen, die Fähigkeit, nach Prozessen von Windows Defender und anderen Anti-Malware-Lösungen zu suchen und diese zu beenden. Anschließend aktiviert die Bedrohung eine Funktion zum Sammeln von Informationen. Die erfassten Daten werden in einem Speicherpuffer gespeichert, bevor sie auf die Command-and-Control (C2)-Server der Operation exfiltriert werden. Die Antwort vom C2-Server ist eine portable ausführbare Datei, die am Speicherort „%LOCALAPPDATA%\Debug\“ abgelegt wird. Im Falle eines Fehlers bei der Übermittlung dieser ausführbaren Datei wiederholt ZxxZ den Vorgang genau 225 Mal, bevor es angehalten und beendet wird.

Es sei darauf hingewiesen, dass die Forscher zwei Infektionsketten gefunden haben, beide Versionen beginnen mit einer Spear-Phishing-E-Mail. Diese Locknachrichten werden hinter gefälschten E-Mail-Adressen versteckt, um als legitime Korrespondenz von pakistanischen Regierungsorganisationen durchzugehen. Die bewaffneten Dateianhänge können jedoch unterschiedlich sein. In einem Fall enthielten die Köder-E-Mails eine .RTF-Datei, die die Schwachstelle CVE-2017-11882 ausnutzt, um Computer mit angreifbaren Microsoft Office-Versionen zu kompromittieren. Die andere Variante der Angriffskette verwendet stattdessen ein .XLSX-Dokument. Diesmal nutzen die Angreifer die Schwachstellen CVE-2018-0798 und CVE-2018-0802 aus, um eine Remote-Code-Ausführung in veralteten Microsoft-Office-Instanzen auszulösen.