Hacker nutzen Sicherheitslücke in Excel zur Verbreitung von „Agent Tesla“-Malware aus
Angreifer nutzen eine alte Microsoft-Office-Schwachstelle als Teil von Phishing-Kampagnen, um einen Malware-Stamm namens Agent Tesla zu verbreiten. Die Infektionsketten nutzen gefälschte Excel-Dokumente, die an fingierte Nachrichten mit Rechnungsbezug angehängt sind, um potenzielle Ziele auszutricksen.
Das betrügerische Manöver mit einem Excel-Anhang in einer E-Mail soll die Mail-Empfänger dazu bringen, die angebliche Rechnung zu öffnen. Dadurch wird eine Schwachstelle namens CVE-2017-11882 (CVSS-Score: 7.8) ausgenutzt, die einen Fehler im Gleichungseditor von Office betrifft. Diese Schwachstelle ermöglicht es, Code mit den Berechtigungen des Nutzers auszuführen.
Die Informationen stammen von Zscaler ThreatLabz, die ihre Erkenntnisse auf früheren Berichten von Fortinet FortiGuard Labs aufgebaut haben. Diese beschreiben eine ähnliche betrügerische Kampagne, die diese Sicherheitslücke nutzte, um Malware zu verbreiten.
Die Sicherheitsforscher von Zscaler erklären: „Sobald ein Benutzer einen bösartigen Anhang herunterlädt und öffnet, initiiert die Excel-Datei eine Kommunikation mit einem bösartigen Ziel und lädt weitere Dateien herunter, ohne dass eine weitere Benutzerinteraktion erforderlich ist. Das gilt natürlich nur, wenn die Version von Microsoft Excel auf dem Rechner des Nutzers für die Schwachstelle anfällig ist.“
Die erste Schadsoftware ist ein getarntes Visual Basic Script. Dieses Skript lädt eine schädliche JPG-Datei herunter, die in eine Base64-verschlüsselte DLL-Datei eingebettet ist. Diese Methode, Dateien zu verstecken, wurde bereits im September 2023 von McAfee Labs detailliert beschrieben.
Danach wird die versteckte DLL in das Windows Assembly Registration Tool RegAsm.exe eingefügt, um die finale Schadwirkung zu aktivieren. Diese ausführbare Datei wurde schon früher genutzt, um den Quasar Remote Access Trojaner (RAT) zu laden.
Agent Tesla ist ein fortschrittlicher Schadprogramm-Typ, der als Keylogger und Remote-Zugriffstrojaner (RAT) auf Basis des .NET-Frameworks funktioniert. Er kann sensible Informationen von infizierten Geräten sammeln. Die Malware überträgt dann diese gesammelten Daten an einen entfernten Server.
Zscaler warnt davor, dass diejenigen, die für diese Bedrohung verantwortlich sind, ihre Methoden regelmäßig ändern. Deshalb ist es wichtig für Unternehmen, stets auf dem neuesten Stand zu bleiben, um ihre digitale Sicherheit zu gewährleisten.
Offenbar werden derzeit des Öfteren alte Sicherheitsprobleme zu neuen Zielen für Hacker. So hat Imperva kürzlich herausgefunden, dass eine Schwachstelle im Oracle WebLogic Server, die drei Jahre alt ist (CVE-2020-14883, CVSS-Score: 7.2), von der Gruppe namens 8220 Gang ausgenutzt wird. Sie verwenden diese Schwachstelle, um Kryptowährungs-Miner zu verbreiten.
Gleichzeitig steigt die Aktivität der DarkGate-Malware an, die Anfang 2023 als Malware-as-a-Service- (MaaS)Angebot beworben wurde. Sie wurde als Ersatz für das QakBot-Netzwerk präsentiert, das im August 2023 offline genommen wurde. Zscaler hat festgestellt, dass der Technologiesektor am stärksten von Angriffen mit DarkGate betroffen ist. Das Unternehmen beruft sich dabei auf Daten von Kunden.
Die meisten DarkGate-Internetadressen sind erst 50 bis 60 Tage alt. Das könnte bedeuten, dass die Angreifer gezielt vorgehen, indem sie regelmäßig neue Internetadressen erstellen und nutzen.
Sophos hat Phishing-Angriffe auf Unternehmen im Gastgewerbe entdeckt. Diese Angriffe verwenden E-Mails, die scheinbar mit Buchungen zu tun haben, um Malware wie den RedLine Stealer oder Vidar Stealer zu verbreiten. Diese Malware zielt darauf ab, Informationen zu stehlen.
Forscher von Sophos beschreiben, wie diese Angriffe ablaufen: Zuerst wird die Zielperson mit einer E-Mail kontaktiert, die nur Text enthält, aber auf etwas hinweist, worauf ein serviceorientiertes Unternehmen wie ein Hotel schnell reagieren möchte. Sobald die Zielperson auf die erste E-Mail des Angreifers antwortet, schickt dieser eine Folge-E-Mail mit einem Link zu vermeintlichen Details bezüglich der Anfrage oder Beschwerde.
Neben Stealern und Trojanern nehmen Phishing-Angriffe auch die Form gefälschter Instagram-E-Mails an, die behaupten, es gäbe eine Urheberrechtsverletzung. Über betrügerische Webseiten versuchen die Angreifer, die Sicherungscodes der Zwei-Faktor-Authentifizierung (2FA) von Nutzern zu stehlen, um Zugriff auf die Kontosicherungen zu erhalten.
Die Daten, die bei solchen Phishing-Angriffen erlangt werden, können im Untergrund verkauft oder für den Zugriff auf Konten verwendet werden.