OBSCURE#BAT Malware-Kampagne bleibt unsichtbar : ... und sehr heimtückisch
Mithilfe raffinierter Social-Engineering-Techniken verbreiten Cyberkriminelle das Open-Source-Rootkit r77. Die von Securonix als OBSCURE#BAT bezeichnete Malware ermöglicht es ihnen, sich unbemerkt und dauerhaft auf infizierten Systemen einzunisten. Die Organisation dahinter bleibt bislang unbekannt.
Um das Open-Source-Rootkit r77 an arglose Nutzer zu bringen, führen die Angreifer ein ausgeklügeltes Täuschungsmanöver mit gefälschten Software-Downloads oder Fake-CAPTCHA-Seiten aus. „Das Rootkit kann beliebige Dateien, Registrierungsschlüssel oder Prozesse verschleiern oder maskieren, sofern sie mit einem bestimmten Präfix beginnen“, so die Sicherheitsexperten Den Iuzvyk und Tim Peck. Die OBSCURE#BAT Kampagne zielt besonders auf Nutzer in den USA, Kanada, Deutschland und Großbritannien ab.
Ablauf des Angriffs
Der Name OBSCURE#BAT leitet sich daraus ab, dass der Angriff mit einem verschleierten Windows-Batch-Skript beginnt. Dieses führt PowerShell-Befehle aus, um einen mehrstufigen Prozess zu starten, der schließlich zur Installation des Rootkits führt.
Die Angreifer nutzen zwei Hauptmethoden, um Nutzer zur Ausführung des schädlichen Skripts zu verleiten:
• Gefälschte Cloudflare CAPTCHA-Seiten (ClickFix-Strategie), die vorgeben, eine Sicherheitsprüfung durchzuführen
• Tarnung als legitime Software wie der Tor-Browser, VoIP-Programme oder Messenger
Wie genau Nutzer auf die manipulierten Seiten gelangen, ist noch nicht eindeutig geklärt. Wahrscheinlich kommen Malvertising (bösartige Werbung) oder SEO-Manipulation zum Einsatz, um die infizierten Downloads in Suchmaschinen höher zu platzieren. Sobald das bösartige Skript ausgeführt wird, installiert es sich dauerhaft durch mehrere Maßnahmen:
• PowerShell-Befehle, die weitere Skripte herunterladen
• Manipulation der Windows-Registrierung, um Schadcode zu speichern
• Geplante Aufgaben, um das Rootkit auch nach einem Neustart zu reaktivieren
Tarnung und Umgehung von Antivirenlösungen
Die Schadsoftware nutzt verschiedene Methoden, um Antivirenprogramme zu umgehen und unentdeckt zu bleiben:
- Sie speichert verschleierte Skripte in der Windows-Registrierung.
- Ein gefälschter Treiber (ACPIx86.sys) wird registriert, um das System weiter zu manipulieren.
- Eine .NET-Payload verschleiert ihren Code mit String-Verschlüsselung, Kontrollfluss-Manipulation und schwer lesbaren Zeichenkombinationen.
Zusätzlich lädt die Malware eine weitere PowerShell-Nutzlast, die mit Antimalware Scan Interface (AMSI)-Patching arbeitet. Dadurch kann sie Antivirenprogramme umgehen und sich unbemerkt im System verankern.
Das Ziel: Unsichtbar bleiben und Daten stehlen
Zum Höhepunkt der Infektion installiert sich das System-Rootkit „ACPIx86.sys“ in den Windows-Treiberordner (**C:\Windows\System32\Drivers**) und wird als Dienst ausgeführt. Parallel wird das User-Mode-Rootkit r77 aktiviert, um dauerhaft Dateien, Prozesse und Registrierungsschlüssel zu verbergen. Die Malware bleibt jedoch nicht nur passiv im Hintergrund:
- Sie überwacht Zwischenablageinhalte und Befehlshistorien.
- Gesammelte Daten werden in versteckten Dateien gespeichert, vermutlich zur späteren Datenexfiltration.
Schwer zu entdecken – und gefährlich für Unternehmen
Laut Sicherheitsforschern ist OBSCURE#BAT eine besonders schwer erkennbare Malware und hat ein hohes Gefahrenpotenzial. Durch den Einsatz von Verschleierungstechniken, versteckten Prozessen und Manipulationen am Windows-System kann sie dauerhaft aktiv bleiben.
Die Malware übersteht sogar Neustarts, da sie geplante Aufgaben und Registry-Skripte nutzt. Zudem infiltriert sie kritische Windows-Prozesse wie winlogon.exe, um Erkennung und Entfernung weiter zu erschweren.
Weitere Bedrohung: Phishing-Kampagne mit Microsoft Copilot
Zeitgleich hat Cofense eine neue Phishing-Kampagne entdeckt, bei der Angreifer sich als Microsoft Copilot ausgeben. Dabei leiten manipulierte E-Mails Nutzer auf eine gefälschte Microsoft-Anmeldeseite, um Passwörter und Zwei-Faktor-Codes zu stehlen.
Cyberkriminelle setzen auf immer ausgefeiltere Techniken, um Malware zu verbreiten und unerkannt in Systemen zu bleiben. Nutzer sollten bei Software-Downloads, CAPTCHA-Abfragen und unbekannten Links besonders wachsam sein.