Hackergruppe DarkHydrus verbreitet Trojaner per Google Drive

Eine neue Kampagne richtet sich gegen politische Ziele im Mittleren Osten. Der Trojaner wird über eine gefährliche Excel-Tabelle verteilt. Sie enthält ein VBA-Macro, das den eigentlichen Schadcode ausführt.

Die Hackergruppe DarkHydrus, die von Kaspersky Lab auch als Lazy Meerkat bezeichnet wird, geht derzeit offenbar gegen politische Ziele im Mittleren Osten vor. Das hat eine Analyse von Forschern von 360 Threat Intelligence ergeben. Demnach läuft die neue Kampagne, bei der auch Googles Cloud-Speicher Drive zum Einsatz kommt, mindestens seit Anfang Januar.

Malware (Bild: Shutterstock/Blue Island)Am 9. Januar entdeckten die Forscher eine gefährliche Excel-Tabelle. Das in Arabisch verfasste Dokument enthielt ein VBA-Macro, das beim Öffnen der Datei ausgeeführt wird. Es legt eine Textdatei in einem temporären Verzeichnis ab und nutzt das Windows-TERegistry-Tool regsvr32.exe, um die Textdatei zu verarbeiten. Dadurch wird wiederum ein PowerShell-Skript erzeugt, das Base64-Inhalt entpackt um eine Datei namens OfficeUpdateService.exe zu starten. Dabei handelt es sich um eine in C# geschriebene Backdoor.

Bei der Backdoor handelt es sich um eine Variante des Trojaners RogueRobin. Er legt Einträge in der Registrierungsdatenbank an, um sich dauerhaft einzunisten. Zudem nutzt er verschiedene Techniken, um einer Entfernung zu entgehen. Unter anderem kann er virtuelle Maschinen und Sandboxes erkennen. Zudem fanden die Forscher speziellen Anti-Debug-Code.

Forscher von Palo Alto Networks, die sich ebenfalls mit der neuen Variante von RogueRobin beschäftigt haben, fanden heraus, dass es der Trojaner auf Systemdaten wie Hostnamen abgesehen hat, die an einen Befehlsserver im Internet geschickt werden. Dafür wird ein DNS-Tunnel benötigt. Steht dieser nicht zur Verfügung, kommt Google Drive als alternative Lösung zur Speicherung von Dateien zum Einsatz.

Die Hacker sind mindestens seit 2017 mit mehreren Kampagnen aufgefallen, um Anmeldedaten zu stehlen. Meistens kommen dabei Spear-Phishing-E-Mails zum Einsatz, die Nutzer dazu verleiten sollen, ihre Daten in gefälschte Formulare einzugeben, von wo aus sie auf von den Hackern kontrollierten Servern landen. Die schädlichen Dokumente sollen die Hacker unter anderem mithilfe von Open-Source-Phishing-Tools erstellen.

ANZEIGE

Die Cloud in kleinen Contact Centern: die Stunde der Wahrheit

Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.

Themenseiten: Cybercrime, Excel, Hacker, Palo Alto

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hackergruppe DarkHydrus verbreitet Trojaner per Google Drive

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *