Hacker verstecken dateilose Malware mithilfe der Windows-Fehlerberichterstattung

Malwarebytes hat eine neue Hacking-Kampagne entdeckt, bei der eine dateilose Schadsoftware zum Einsatz kommt. Sie nutzt verschiedene Techniken, um einer Erkennung durch Sicherheitsanwendungen zu entgehen. Unter anderem schleust sie zu dem Zweck Code in die ausführbare Datei der Windows-Fehlerberichterstattung ein.

Erste Spuren der neuen Malware fanden die Forscher am 17. September bei der Analyse von Phishing-E-Mails mit einem schädlichen Dateianhang im ZIP-Format. Das darin enthaltene Dokument führt einem Bericht von Bleeping Computer zufolge über ein Makro Shellcode aus, der zum sogenannten CactusTorch-Framework gehört.

Dieser Code wiederum lägt ein .NET-Objekt direkt in den Arbeitsspeicher des nun infizierten Windows-Systems. Die Binärdatei wiederum startet den Forschern direkt aus dem Arbeitsspeicher heraus, ohne irgendwelche Spuren auf einem Massenspeicher zu hinterlassen, indem Shellcode in den Prozess er Windows-Fehlerberichterstattung eingeschleust wird.

Als weitere Vorsichtsmaßnahme prüft der schädliche Fehlerberichtserstattungsprozess, ob beispielsweise ein Debugger aktiv ist oder ober er in einer virtuellen Maschine läuft – Zeichen, die auf eine mögliche Untersuchung von Sicherheitsforschern hinweisen. Erst nachdem diese Kontrollen erfolgreich durchlaufen wurden, setzt die Schadsoftware ihren Angriff fort und entschlüsselt den finalen Schadcode, der in einem neuen Thread der Fehlerberichterstattung startet. Eine Analyse dieses finalen Schadcodes war Malwarebytes bisher nicht möglich, weil die Domain, die den Code hostet, derzeit nicht erreichbar ist.

Die Technik, Code in der Windows-Fehlerberichterstattung zu verstecken, ist dem Bericht zufolge nicht neu. Sie soll auch der Cerber-Ransomware sowie dem Remote Access Trojan NetWire helfen, einer Erkennung zu entgehen.

Wer hinter der neuen Kampagne steckt, konnten die Forscher ebenfalls nicht ermitteln. Einige Indikatoren sollen jedoch auf eine vom vietnamesischen Staat unterstützte Gruppe hinweisen, die als APT32 oder OceanLotus beziehungsweise SeaLotus bekannt ist. Diese Gruppe ging zuletzt unter anderem gegen ausländische Unternehmen vor, die in Vietnam investieren. Ihnen werden aber auch Einbrüche bei Medienfirmen und Menschenrechtsorganisationen weltweit zugesprochen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Warum Software-Anbieter KMUs für sich entdecken

KMUs profitieren vom digitalen Wandel und neuen Geschäftsmodellen der IT-Anbieter, berichtet Karolin Köstler, Senior Marketing…

3 Tagen ago

Ransomware mit Teilverschlüsselung

Ransomware-Banden wie Black Cat setzen vermehrt auf Teilverschlüsselung, um sich besser zu tarnen. So können…

3 Tagen ago

Micro-Management ist out

Manager sollten sich im operativen Tagesgeschäft überflüssig machen, lautet die These von Gerrit Külper, Director…

3 Tagen ago

Das ändert sich im Nachweisgesetz

Seit dem 01. August 2022 gibt es durch das Nachweisgesetz neue Pflichten für die Arbeitgeber.…

3 Tagen ago

Risikofaktor Mitarbeiter

Eine neue Studie zeigt, dass über zwanzig Prozent der ungeschulten Arbeitskräfte weltweit nicht wissen, an…

4 Tagen ago

Microsoft bringt Windows 11 22H2

Das erste jährliche Windows 11-Funktionsupdate von Microsoft wird seit dem 20. September ausgeliefert. Es bringt…

5 Tagen ago