Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Phishing-Mailings von RAT-Trojanern bedrohen Firmenanwender

Baden-Baden, 11. Dezember 2020

Im November 2020 entdeckten die Virenanalysten von Doctor Web Phishing-Mailings, die an Benutzer in Unternehmen gesendet wurden. Die E-Mails enthielten angehängte Trojaner, die eine versteckte Installation und Ausführung von Remote Utilities - Dienstprogrammen zur Fernverwaltung von Computern – ermöglichten.

Die gefundenen Muster lassen sich in 2 Gruppen einteilen:

  • Selbstextrahierende Archive, die die ursprünglichen ausführbaren Dateien von Remote Utilities und ein via DLL-Hijacking heruntergeladenes bösartiges Modul enthielten. Dieses Modul verhindert, dass man als Nutzer Fenster und andere Anzeichen laufender Apps sieht, und benachrichtigt die Cyber-Kriminellen über die Ausführung und Installation. Der Schädling wird von Dr.Web als BackDoor.RMS.180 erkannt.
  • Selbstextrahierende Archive, die das ursprüngliche Remote Utilities-Installationsmodul und ein vorkonfiguriertes MSI-Paket enthielten, um die stille Installation der Remote-Management-Software und das anschließende Senden einer Nachricht über die Bereitschaft für eine Remote-Verbindung zu einem Server der Cyber-Kriminellen sicherzustellen. Der Schädling wird von Dr.Web als BackDoor.RMS.181 erkannt.

Angriffsszenarien

Beide Malware-Gruppen teilen nicht nur das verwendete Tool (Remote Utilities), sondern auch das Format der Phishing-Mails. Sie können als relativ gut formulierte und relativ umfangreiche Nachrichten in russischer Sprache charakterisiert werden, die ein für den Empfänger potentiell interessantes Thema ausnutzen. Eine weitere Besonderheit ist, dass die bösartige Nutzlast mit einem Kennwort geschützt ist, das als Textdatei angehängt ist. Das Format des Passworts ist das Datum, an dem die E-Mail gesendet wurde.

Beispiel für eine E-Mail mit einem bösartigen Anhang, der DLL Hijacking verwendet:

#drweb

Im angehängten Archiv befindet sich ein geschütztes RAR-Archiv und eine Textdatei mit dem dazugehörigen Passwort.

#drweb

Um die Vertraulichkeit des zu versendenden Anhangs zu gewährleisten, wurde das automatische Passwort 02112020 gesetzt.

Das Archiv „Электронная повестка.rar“ enthält einen Dropper in Form eines selbstextrahierenden RAR-Archivs, das seinerseits BackDoor.RMS.180 enthält.

Nachfolgend sehen Sie ein Beispiel für eine E-Mail mit einem Anhang, der das MSI-Paket verwendet.

#drweb

Das „Документы.rar“ enthält neben dem Archiv mit der bösartigen Nutzlast (BackDoor.RMS.181) und der Passwortdatei auch Dummy-Dokumente.

#drweb

Aufgrund der Sicherheitsrichtlinien des Unternehmens ist dieser Anhang durch einen Zugangscode 12112020 geschützt.

Bei unseren Untersuchungen haben wir auch ein Phishing-Muster entdeckt, das einen Link zu einem Dropper enthält, der die Installation von Remote Utilities aus einem konfigurierten MSI-Paket startet (dieses wird von Dr.Web als BackDoor.RMS.187 erkannt). Das Format des schädlichen Moduls und die Art, wie es empfangen wurde, sind in dieser E-Mail anders.

#drweb

Der Anhang "CV_resume.rar" stellt einen Link zu einer kompromittierten Website dar, der den Benutzer zu einer anderen Ressource umleitet, um ein bösartiges Archiv von BackDoor.RMS.187 herunterzuladen.

Bei der Analyse der Netzwerkinfrastruktur, die von den Angreifern zur Verbreitung von BackDoor.RMS.187 verwendet wurde, haben wir andere kompromittierte Websites sowie ein Beispiel für Trojan.Gidra entdeckt. Unseren Daten zufolge wurde das Programm, das von Dr.Web als Trojan.GidraNET.1 erkannt wurde, verwendet, um das System über eine Phishing-Mail zu infiltrieren und anschließend eine Backdoor herunterzuladen, über die heimlich Remote Utilities installiert wurden.

Detaillierte technische Beschreibungen der gefundenen Malware finden Sie in der Dr.Web Virenbibliothek.

BackDoor.RMS.180
BackDoor.RMS.181
BackDoor.RMS.187
Trojan.GidraNET.1

Fazit

Backdoors auf Basis von Remote-Administrationsprogrammen sind nach wie vor eine aktuelle Sicherheitsbedrohung und werden immer noch für Angriffe auf den Unternehmenssektor genutzt. Phishing-Mails wiederum sind das primäre Mittel zur Übermittlung der Nutzlast auf infizierte Computer. Ein charakteristisches Merkmal bösartiger Anhänge ist die kennwortgeschützte Archivierung der Nutzlast. So kann eine E-Mail die eingebauten Sicherheitsmaßnahmen des Mail-Servers umgehen. Eine weitere Besonderheit ist das Vorhandensein einer Textdatei mit dem Kennwort für das gefälschte Archiv. Darüber hinaus ermöglicht die Verwendung einer bösartigen Bibliothek und eines DLL-Hijacking-Angriffs die Nutzung von Fernsteuerungssoftware auf einem kompromittierten Gerät.

Kompromittierungsindikatoren

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware
Entwickelt seit 1992
Dr.Web wird in mehr als 200 Ländern genutzt
Antivirus im SaaS-Modell seit 2007
Technischer Support rund um die Uhr

Dr.Web © Doctor Web
2003 — 2021

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden