Gefälschte Cisco Webex-App verbreitet Malware und Kryptowährungs-Miner
Bedrohungsakteure locken ahnungslose Benutzer mit kostenlosen oder raubkopierten Versionen von kommerzieller Software. Dabei installieren sie den Malware-Loader Hijack Loader, der dann den Informationsdieb Vidar Stealer einschleust.
Trellix berichtete, dass Angreifer Benutzer dazu brachten, passwortgeschützte Archivdateien herunterzuladen, die eine manipulierte Version der Cisco Webex Meetings App (ptService.exe) enthielten. Wenn ahnungslose Opfer die Datei „Setup.exe“ extrahierten und ausführten, wurde heimlich Malware installiert, die ein Modul zum Diebstahl von Informationen startete.
Die Kampagne nutzte eine RAR-Archivdatei, die eine „Setup.exe“ enthielt, die in Wirklichkeit eine Kopie des ptService-Moduls von Cisco Webex Meetings war. Besonders war die Verwendung von DLL-Side-Loading-Techniken, um den Hijack Loader (auch DOILoader oder IDAT Loader genannt) zu starten, der dann den Vidar Stealer über ein AutoIt-Skript einschleuste.
Mit einer gängigen Technik umging die Malware die Benutzerkontensteuerung (UAC) und nutzte die CMSTPLUA COM-Schnittstelle zur Privilegienerweiterung. Sobald die Privilegien erweitert waren, fügte sich die Malware zur Ausschlussliste von Windows Defender hinzu, um die Erkennung zu verhindern.
Die Angriffskette nutzte Vidar Stealer, um sensible Anmeldeinformationen aus Webbrowsern zu stehlen, und installierte zusätzlich einen Kryptowährungs-Miner auf dem angegriffenen Rechner.
ClearFake-Kampagnen mit PowerShell-Skripten und Lumma Stealer
Dieser Bericht folgt auf eine Welle von ClearFake-Kampagnen, bei denen Website-Besucher dazu gebracht wurden, manuell ein PowerShell-Skript auszuführen, um angebliche Anzeigeprobleme zu beheben – eine eine Technik, die ReliaQuest bereits vor Wochen öffentlich gemacht hatte. Dieses Skript startete den Hijack Loader, der dann die Lumma Stealer-Malware installierte. Der Stealer konnte außerdem drei weitere Schadprogramme herunterladen, darunter den Amadey Loader, der den XMRig-Miner startete, und eine Clipper-Malware, die Kryptowährungstransaktionen auf die Wallets der Angreifer umleitete.
„Amadey lud weitere Schadprogramme herunter, darunter eine Go-basierte Malware, vermutlich JaskaGO“, so die Proofpoint-Experten Tommy Madjar, Dusty Miller und Selena Larson. Sie berichten außerdem über eine weitere Kampagne namens ClickFix, die Mitte April 2024 entdeckt wurde. Diese Kampagne verwendete gefälschte Browser-Updates, um Vidar Stealer zu verbreiten, indem Besucher kompromittierter Websites dazu gebracht wurden, PowerShell-Code auszuführen.
Ein weiterer Bedrohungsakteur, der ähnliche Social-Engineering-Taktiken in seinen Malspam-Kampagnen einsetzt, ist TA571. Dieser verschickt E-Mails mit HTML-Anhängen, die beim Öffnen eine Fehlermeldung anzeigen: „Die ‚Word Online‘-Erweiterung ist nicht in Ihrem Browser installiert.“
Die Meldung bietet zwei Optionen an: „Wie man es behebt“ und „Automatische Behebung.“ Wenn ein Opfer die erste Option auswählt, wird ein Base64-verschlüsselter PowerShell-Befehl in die Zwischenablage kopiert. Es folgen Anweisungen, ein PowerShell-Terminal zu öffnen, das Konsolenfenster per Rechtsklick zu öffnen, den Befehl einzufügen und auszuführen. Dies startet entweder einen MSI-Installer oder ein Visual Basic Script (VBS).
Wählt der Benutzer die Option „Automatische Behebung“, werden in Windows Explorer WebDAV-gehostete Dateien namens „fix.msi“ oder „fix.vbs“ angezeigt, indem der „search-ms:“-Protokollhandler ausgenutzt wird. Egal, welche Option gewählt wird, die Ausführung der MSI-Datei führt zur Installation von Matanbuchus, während die Ausführung der VBS-Datei zur Installation von DarkGate führt.
NetSupport RAT in anderen Varianten der Kampagne
Andere Varianten der Kampagne verbreiteten auch NetSupport RAT. Die Angreifer passen ständig ihre Köder und Angriffsmethoden an, obwohl sie eine erhebliche Interaktion seitens des Benutzers erfordern, um erfolgreich zu sein.
Proofpoint betonte, dass die Erkennung dieser Bedrohungen schwierig ist, weil die Opfer den schädlichen Code manuell ausführen, ohne dass eine direkte Datei involviert ist. Deshalb müssen die Erkennung und Blockierung erfolgen, bevor der bösartige HTML-Code oder die Website dem Opfer angezeigt wird.
Das kanadische Sicherheitsunternehmen eSentire entdeckte ebenfalls eine Malware-Kampagne, die gefälschte Websites nutzte, die wie Indeed.com aussahen, um SolarMarker-Malware über ein Köderdokument zu verbreiten. SolarMarker verwendet SEO-Techniken (Search Engine Optimization), um die Sichtbarkeit betrügerischer Links in Suchmaschinenergebnissen zu erhöhen. Dies zeigt, wie wichtig es ist, vorsichtig zu sein, selbst wenn Suchmaschinenergebnisse vertrauenswürdig erscheinen.