Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

AsyncRAT-Kampagne nutzt TryCloudflare-Tunnel für versteckte Angriffe

Eine Malware-Kampagne verbreitet den gefährlichen Fernzugriff-Trojaner AsyncRAT. Mithilfe von Schadcode in der Programmiersprache Python und TryCloudflare-Tunneln, die es Nutzern ermöglichen, ihre lokalen Webserver ohne Öffnung von Firewall-Ports über das Internet zu veröffentlichen, gelingt es den Angreifern, Spuren zu vermeiden und unbemerkt zuzuschlagen.

BedrohungenComplianceNetzwerksicherheit
Lesezeit 4 Min.

Die Schadsoftware AsyncRAT ist ein Fernzugriff-Trojaner, der die async/await-Technik für effiziente, asynchrone Kommunikation nutzt. „Er ermöglicht es Hackern, infizierte Computer heimlich zu steuern, Daten zu stehlen und Befehle auszuführen, ohne entdeckt zu werden“, erklärt die Sicherheitsexpertin Jyotika Singh von Forcepoint X-Labs.

Phishing als Einstiegspunkt

Die Attacke beginnt mit einer Phishing-E-Mail, die einen Link zu Dropbox enthält. Klickt das Opfer darauf, wird ein ZIP-Archiv heruntergeladen.

Dieses Archiv enthält eine Internetverknüpfung (URL-Datei), die zu einer Windows-Verknüpfung (LNK-Datei) führt. Während diese LNK-Datei die Infektion weiter vorantreibt, wird dem Opfer zur Ablenkung ein harmlos wirkendes PDF-Dokument angezeigt.

Die LNK-Datei selbst wird über eine spezielle TryCloudflare-URL nachgeladen. TryCloudflare ist ein legitimer Cloudflare-Dienst, der Webserver im Internet erreichbar macht, ohne Ports freizugeben. Dabei wird eine Subdomain auf trycloudflare[.]com erstellt, die den Datenverkehr unbemerkt weiterleitet.

Sobald die LNK-Datei geöffnet wird, startet sie PowerShell, um ein JavaScript-Skript von der TryCloudflare-Seite auszuführen. Dieses Skript lädt anschließend ein Batch-Skript (BAT), das eine weitere ZIP-Datei nachlädt.

In dieser ZIP-Datei steckt die eigentliche Python-Payload, die verschiedene Schadprogramme installiert – darunter AsyncRAT, Venom RAT und XWorm. Damit übernehmen die Angreifer die volle Kontrolle über das infizierte System, stehlen Daten und führen weitere Schadsoftware aus.

Ähnlich gestrickte Angriffe auch 2024 bekannt

Eine leicht abgewandelte Version dieser Infektionsmethode wurde bereits im letzten Jahr entdeckt. Damals wurden verschiedene Schadprogramme verbreitet, darunter AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT und XWorm.

Außerdem wurde ein ähnlicher Angriff im November 2024 dokumentiert. Dabei nutzten Cyberkriminelle eine Windows-Sicherheitslücke (CVE-2024-38213), um das Mark-of-the-Web (MotW)-Sicherheitsfeature zu umgehen. Diese Schwachstelle wurde inzwischen von Microsoft geschlossen.

„Diese AsyncRAT-Kampagne zeigt erneut, wie Hacker legitime Dienste wie Dropbox und TryCloudflare für ihre Zwecke missbrauchen“, so Singh. „Die Schadsoftware wird über Dropbox-Links und temporäre TryCloudflare-Tunnel heruntergeladen. Dadurch wirkt sie auf die Opfer vertrauenswürdig und wird eher ausgeführt.“

Phishing-Toolkits immer beliebter

Parallel dazu gibt es eine starke Zunahme von Phishing-Kampagnen, bei denen Hacker auf sogenannte Phishing-as-a-Service (PhaaS)-Toolkits zurückgreifen. Mit diesen Werkzeugen können sie Kontoübernahmen durchführen, indem sie gefälschte Anmeldeseiten von bekannten Plattformen wie Microsoft, Google, Apple und GitHub nachbauen.

Ein weiterer Trick der Angreifer sind Social-Engineering-Angriffe per E-Mail. Dabei werden gehackte Geschäftskonten genutzt, um an Microsoft-365-Zugangsdaten zu gelangen. Da diese E-Mails aus vertrauenswürdigen Quellen zu kommen scheinen, können die Betrüger Sicherheitsmaßnahmen umgehen und sich unbemerkt Zugang zu sensiblen Daten verschaffen.

Aktuelle Phishing-Kampagnen im Überblick

In den letzten Wochen wurden mehrere neue Phishing-Angriffe dokumentiert. Hier sind einige besonders auffällige Methoden, die Cyberkriminelle derzeit gerne einsetzen:

  • Angriffe in Lateinamerika: Hacker verwenden offizielle juristische Dokumente und Rechnungen, um die Schadsoftware SapphireRAT zu verbreiten und auszuführen.
  • Missbrauch offizieller Webseiten: Angreifer nutzen legitime Domains, darunter auch Regierungswebseiten („.gov“), um gefälschte Microsoft-365-Log-in-Seiten zu hosten und Anmeldedaten zu stehlen.
  • Steuerbehörden als Tarnung: Hacker geben sich als Finanzämter und Steuerbehörden in Australien, der Schweiz, dem Vereinigten Königreich und den Vereinigten Staaten aus. Sie versuchen, Anmeldedaten abzugreifen, betrügerische Zahlungen durchzuführen und Schadsoftware wie AsyncRAT, MetaStealer, Venom RAT und XWorm zu verbreiten.
  • Gefälschte Microsoft-Login-Seiten: Angreifer erstellen täuschend echte Microsoft Active Directory Federation Services (ADFS) Login-Seiten, um Passwörter und Multi-Faktor-Authentifizierungs-Codes (MFA) zu stehlen. Diese Daten werden anschließend für finanzielle Betrugs-E-Mails genutzt.
  • Missbrauch von Cloudflare Workers: Cyberkriminelle hosten Phishing-Seiten auf Cloudflare Workers(workers.dev), die sich als bekannte Online-Dienste ausgeben, um Zugangsdaten zu stehlen.
  • Angriffe auf deutsche Unternehmen: Hacker setzen die Schadsoftware Sliver ein und tarnen sie als Arbeitsverträge, um deutsche Firmen zu attackieren.
  • Umgehung von Sicherheitsmaßnahmen: Phishing-E-Mails enthalten Zero-Width-Joiner- und Soft-Hyphen-Zeichen (auch SHY-Zeichen genannt), um URL-Sicherheitsprüfungen zu umgehen und Nutzer auf schädliche Seiten zu locken.
  • Scareware- und Betrugsseiten: In der Kampagne ApateWeb werden manipulierte Links verteilt, die auf angsteinflößende Warnmeldungen, unerwünschte Programme (PUPs) und andere Betrugsseiten führen.

Aktuelle Untersuchungen von CloudSEK zeigen, dass Cyberkriminelle die Plattform Zendesk für Phishing-Angriffe und Betrugsmaschen nutzen können.

„Zendesk erlaubt es Nutzern, sich für eine kostenlose Testversion anzumelden und dabei eine eigene Subdomain zu erstellen. Diese kann von Angreifern missbraucht werden, um sich als seriöses Unternehmen auszugeben“, so das Unternehmen. Die Hacker nutzen diese Subdomains, um Phishing-E-Mails zu versenden. Dazu fügen sie die E-Mail-Adressen der Opfer als „Nutzer“ im Zendesk-Portal hinzu.

„Zendesk überprüft nicht, ob eine E-Mail-Adresse tatsächlich zu einem Unternehmen gehört. Das bedeutet, dass Angreifer beliebige Personen als Nutzer hinzufügen können. Anschließend senden sie gefälschte Support-Tickets, die in Wirklichkeit Phishing-Seiten enthalten.“

Weitere Artikel:

PureCrypter verteilt Agent Tesla und TorNet-Backdoor

DarkGate-Malware tarnt sich für versteckte Cyberangriffe

Google warnt: Hackergruppen nutzen KI für Angriffe

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.