Malware nutzt BOINC-Projekt für verdeckte Cyberangriffe
Die JavaScript-Downloader-Malware SocGholish (auch bekannt als FakeUpdates) wird verwendet, um einen Remote-Access-Trojaner namens AsyncRAT zu verbreiten. Dabei wird das legitime Open-Source-Tool BOINC mitgeliefert, das hier für den Missbrauch als Krypto-Miner eingerichtet ist.
Der Berkeley Open Infrastructure Network Computing Client (BOINC) ist eine Open-Source-Plattform für „freiwilliges Rechnen“, die von der Universität von Kalifornien entwickelt wurde. Sie ermöglicht groß angelegte, verteilte Berechnungen auf Heimcomputern, auf denen die BOINC-App installiert ist. Dabei nutzt BOINC die Rechenleistung der teilnehmenden Computer. „Ähnlich wie ein Miner für Kryptowährungen verwendet BOINC Computerressourcen zur Bearbeitung von Aufgaben – nur eben nicht unbemerkt, sondern mit expliziter Zustimmung. Um Nutzer ein klein wenig dafür entlohnen zu können, wurde mit Gridcoin eine spezielle Kryptowährung entwickelt. Die Teilnehmer an BOINC-Projekten erhalten bestimmte Beträge als Motivation“, so die Experten Matt Anderson, Alden Schmidt und Greg Linares von Huntress in einem kürzlich veröffentlichten Bericht. Der Wert der Beträge kann natürlich je nach Entwicklung der Währung künftig zu- oder abnehmen.
Es gibt jedoch auch bösartige Installationen der BOINC-Software. Diese verbinden sich mit Domains wie „rosettahome[.]cn“ oder „rosettahome[.]top“, die von Angreifern kontrolliert werden. Diese Domains fungieren als Command-and-Control-Server (C2), über die Daten gesammelt, Nutzdaten übertragen und weitere Befehle an die infizierten Hosts erteilt werden. Mitte Juli waren 10.032 Clients mit diesen beiden Domains verbunden.
Das Cybersicherheitsunternehmen Huntress hat bisher keine weiteren Aktivitäten oder Aufgaben von den infizierten Hosts beobachtet. Es wird jedoch vermutet, dass diese Host-Verbindungen als anfängliche Zugangsvektoren verkauft werden könnten, die von anderen Akteuren genutzt werden, um möglicherweise Ransomware auszuführen.
SocGholish-Angriffe beginnen normalerweise, wenn Benutzer auf kompromittierte Websites gelangen. Dort werden sie aufgefordert, ein gefälschtes Browser-Update herunterzuladen. Nach der Ausführung dieses Updates lädt es zusätzliche schädliche Programme auf die infiltrierten Computer. Der JavaScript-Downloader aktiviert zwei getrennte Angriffsstränge. Einer installiert eine dateilose Variante von AsyncRAT, während der andere die BOINC-Anwendung installiert. Um der Entdeckung zu entgehen, wird die BOINC-Anwendung in „SecurityHealthService.exe“ oder „trustedinstaller.exe“ umbenannt. Mithilfe eines PowerShell-Skripts wird die Persistenz durch eine geplante Aufgabe eingerichtet.
Die Entwickler von BOINC sind sich des Missbrauchs ihrer Software bewusst und untersuchen das Problem derzeit, um einen Weg zu finden, diese Malware zu bekämpfen. Beweise für den Missbrauch reichen mindestens bis zum 26. Juni 2024 zurück. Die genaue Absicht der Angreifer, diese Software auf infizierten Hosts zu installieren, ist noch unklar. Infizierte Clients, die sich aktiv mit bösartigen BOINC-Servern verbinden, stellen jedoch ein hohes Risiko dar. Ein motivierter Angreifer könnte diese Verbindung nutzen, um beliebige bösartige Befehle oder Software auf dem Host auszuführen. Dadurch könnte er seine Rechte erweitern, sich seitlich durch ein Netzwerk bewegen und eine ganze Domäne kompromittieren.
Die Entwicklung kommt zu einem Zeitpunkt, an dem Check Point Malware-Autoren beobachtet, wie sie vermehrt kompiliertes V8-JavaScript verwenden. Damit umgehen sie statische Erkennungen und verstecken verschiedene Arten von Schadsoftware wie Remote-Access-Trojaner, Stealer, Loader, Kryptowährungs-Miner, Wiper und Ransomware. „Im ständigen Kampf zwischen Sicherheitsexperten und Bedrohungsakteuren lassen sich Malware-Entwickler immer wieder neue Tricks einfallen, um ihre Angriffe zu verbergen“, erklärt Sicherheitsexperte Moshe Marelus. „Es ist nicht überraschend, dass sie nun V8 verwenden, da diese Technologie häufig zur Erstellung von Software genutzt wird und extrem schwer zu analysieren ist.“