Hacker verstecken dateilose Malware mithilfe der Windows-Fehlerberichterstattung

Malwarebytes hat eine neue Hacking-Kampagne entdeckt, bei der eine dateilose Schadsoftware zum Einsatz kommt. Sie nutzt verschiedene Techniken, um einer Erkennung durch Sicherheitsanwendungen zu entgehen. Unter anderem schleust sie zu dem Zweck Code in die ausführbare Datei der Windows-Fehlerberichterstattung ein.

Erste Spuren der neuen Malware fanden die Forscher am 17. September bei der Analyse von Phishing-E-Mails mit einem schädlichen Dateianhang im ZIP-Format. Das darin enthaltene Dokument führt einem Bericht von Bleeping Computer zufolge über ein Makro Shellcode aus, der zum sogenannten CactusTorch-Framework gehört.

Dieser Code wiederum lägt ein .NET-Objekt direkt in den Arbeitsspeicher des nun infizierten Windows-Systems. Die Binärdatei wiederum startet den Forschern direkt aus dem Arbeitsspeicher heraus, ohne irgendwelche Spuren auf einem Massenspeicher zu hinterlassen, indem Shellcode in den Prozess er Windows-Fehlerberichterstattung eingeschleust wird.

Als weitere Vorsichtsmaßnahme prüft der schädliche Fehlerberichtserstattungsprozess, ob beispielsweise ein Debugger aktiv ist oder ober er in einer virtuellen Maschine läuft – Zeichen, die auf eine mögliche Untersuchung von Sicherheitsforschern hinweisen. Erst nachdem diese Kontrollen erfolgreich durchlaufen wurden, setzt die Schadsoftware ihren Angriff fort und entschlüsselt den finalen Schadcode, der in einem neuen Thread der Fehlerberichterstattung startet. Eine Analyse dieses finalen Schadcodes war Malwarebytes bisher nicht möglich, weil die Domain, die den Code hostet, derzeit nicht erreichbar ist.

Die Technik, Code in der Windows-Fehlerberichterstattung zu verstecken, ist dem Bericht zufolge nicht neu. Sie soll auch der Cerber-Ransomware sowie dem Remote Access Trojan NetWire helfen, einer Erkennung zu entgehen.

Wer hinter der neuen Kampagne steckt, konnten die Forscher ebenfalls nicht ermitteln. Einige Indikatoren sollen jedoch auf eine vom vietnamesischen Staat unterstützte Gruppe hinweisen, die als APT32 oder OceanLotus beziehungsweise SeaLotus bekannt ist. Diese Gruppe ging zuletzt unter anderem gegen ausländische Unternehmen vor, die in Vietnam investieren. Ihnen werden aber auch Einbrüche bei Medienfirmen und Menschenrechtsorganisationen weltweit zugesprochen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

14 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

14 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

16 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

18 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

20 Stunden ago

Kontoübername mit einem Klick: TikTok schließt schwerwiegende Sicherheitslücke

Ein unabhängiger Sicherheitsforscher kombiniert zwei Fehler zu einem Exploit. Betroffen ist die TikTok-Website. Der Forscher…

21 Stunden ago