Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Eclipse Jarsigner zur Verbreitung der XLoader-Malware missbraucht

Eine neu entdeckte Malware-Kampagne nutzt die DLL-Side-Loading-Technik, um die gefährliche XLoader-Schadsoftware zu verbreiten. Besonders tückisch: Die Angreifer missbrauchen eine legitime Anwendung der Eclipse Foundation, um ihre Malware unbemerkt auf die Systeme ihrer Opfer zu schleusen.

Bedrohungen
Lesezeit 3 Min.

„Die bei dem Angriff verwendete legitime Anwendung, jarsigner, ist eine Datei, die bei der Installation des Eclipse IDE-Pakets erstellt wird“, erklärt das AhnLab Security Intelligence Center (ASEC). „Dabei handelt es sich um ein Tool zum Signieren von JAR-Dateien (Java Archive).“ Die Malware wird in einem ZIP-Archiv verbreitet, das eine Kombination aus legitimen und manipulierten Dateien enthält. Durch eine als DLL-Side-Loading bekannte Technik wird die Schadsoftware unbemerkt eingeschleust. Das ZIP-Archiv enthält folgende Dateien:

• Documents2012.exe – eine umbenannte Version der legitimen jarsigner.exe-Datei
• jli.dll – eine manipulierte DLL-Datei, die die Nutzlast concrt140e.dll entschlüsselt und ausführt
• concrt140e.dll – die eigentliche XLoader-Schadsoftware

Die Infektion beginnt, sobald Documents2012.exe ausgeführt wird. Dabei wird die manipulierte jli.dll-Bibliothek geladen, die XLoader aktiviert. „Die Datei concrt140e.dll ist eine verschlüsselte Nutzlast, die während des Angriffs entschlüsselt und in die legitime Datei aspnet_wp.exe injiziert wird“, so die Sicherheitsforscher von ASEC.

Einmal aktiv kann XLoader sensible Daten wie Systeminformationen und Browserdaten stehlen. Zudem ermöglicht die Malware das Nachladen weiterer Schadsoftware aus dem Internet und verschafft Angreifern so noch mehr Kontrolle über das infizierte System.

XLoader: Eine gefährliche Weiterentwicklung von Formbook

XLoader ist der Nachfolger der bekannten Formbook-Malware und wurde erstmals 2020 entdeckt. Sie wird als Malware-as-a-Service (MaaS) verkauft, sodass auch weniger erfahrene Cyberkriminelle sie problemlos einsetzen können. Im August 2023 wurde zudem eine macOS-Version entdeckt, die sich als Microsoft Office tarnte. Die neuesten Versionen XLoader 6 und 7 setzen verstärkt auf Verschleierung und Verschlüsselung, um Sicherheitslösungen zu umgehen und eine Analyse durch Experten zu erschweren. Laut einem Bericht von Zscaler ThreatLabz nutzt XLoader nun Techniken, die bereits bei der Malware SmokeLoader beobachtet wurden. Dazu gehören:

  • Laufzeit-Verschlüsselung von Code, um die Erkennung durch Antivirensoftware zu verhindern
  • Umgehung von NTDLL-Hooks, sodass Sicherheitsprogramme die schädlichen Aktivitäten nicht aufspüren können

Eine genauere Analyse zeigt, dass XLoader hardcodierte Täuschungslisten verwendet. Dabei mischt die Malware Command-and-Control-(C2)-Kommunikation mit Datenverkehr zu seriösen Websites. Ähnlich wie bei Malware-Familien wie Pushdo besteht das Ziel der Täuschungsmanöver darin, Netzwerkverkehr zu legitimen Domains zu erzeugen, um den tatsächlichen Command-and-Control-Datenverkehr zu verschleiern.

DLL-Side-Loading: Ein bewährter Trick für Cyberangriffe

Die DLL-Side-Loading-Technik wird nicht nur von den Betreibern von XLoader genutzt. Auch die Bedrohungsgruppe SmartApeSG (auch bekannt als ZPHP oder HANEYMANEY) setzt sie ein, um über kompromittierte Websites mit JavaScript Web Injects den NetSupport RAT zu verbreiten. Dieser Remote-Access-Trojaner dient dann als Zugangspunkt für den Diebstahl sensibler Daten mit der StealC-Malware.

Laut einer Analyse von Zscaler gibt es neben XLoader zwei weitere gefährliche Malware-Loader: NodeLoader und RiseLoader. Diese Schadprogramme werden genutzt, um Passwortdiebe, Krypto-Miner und Botnet-Malware wie Vidar, Lumma, Phemedrone, XMRig und Socks5Systemz zu verbreiten. Besonders auffällig: RiseLoader und die verwandte Malware RisePro weisen große Ähnlichkeiten auf – sowohl bei der Netzwerkkommunikation als auch beim Aufbau der Schadsoftware. Experten vermuten deshalb, dass beide Programme von derselben Hackergruppe stammen.

Stellungnahme der Eclipse Foundation

 Mikaël Barbero, Leiter der Sicherheitsabteilung der Eclipse Foundation, gab zu dem Fall eine Erklärung ab: „Der Missbrauch von jarsigner.exe resultiert aus dem DLL-Ladeverhalten von Windows und ist keine Sicherheitslücke in Eclipse Temurin. Diese Technik betrifft unzählige Windows-Anwendungen und stellt keinen Fehler in der Software der Eclipse Foundation dar.“ Weiter betonte er: „Es gibt keine Hinweise darauf, dass die Infrastruktur der Eclipse Foundation, die Temurin-Build-Systeme oder Projekte kompromittiert wurden – was für den Angriff jedoch auch nicht erforderlich wäre. Die Täter nutzen einfach eine legitime, signierte Binärdatei, die nach der Verteilung mit schädlichen Dateien gebündelt wird.“

Weitere Artikel:

Self-Sovereign Identity (SSI)

Manipuliertes Go-Paket verschafft sich dauerhaften Fernzugriff

Cyberkriminelle umgehen Windows-Mark-of-the-Web-Schutz

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.