Mit <kes>+ lesen

Packer-Software verbreitet Malware

Bedrohungsakteure missbrauchen zunehmend legitime, kommerziell erhältliche Packer-Software wie BoxedApp, um ihrer Erkennung zu umgehen und Malware wie Remote-Access-Trojaner zu verbreiten.

Security-Management
Lesezeit 2 Min.

„Die Mehrheit der zugewiesenen bösartigen Samples zielte auf Finanzinstitutionen und Regierungsbehörden ab“, so Jiri Vinopal aus der Check Point Sicherheitsabteilung in einer Analyse. Das Volumen der mit BoxedApp gepackten und an die Google-eigene Malware-Scan-Plattform VirusTotal übermittelten Samples stieg um Mai 2023 sprunghaft an, fügte das israelische Cybersicherheitsunternehmen hinzu, wobei die Einreichungen hauptsächlich aus der Türkei, den USA, Deutschland, Frankreich und Russland stammten.

Zu den auf diese Weise verbreiteten Malware-Familien gehören Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, NjRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm und ZXShell.

Packer sind selbstextrahierende Archive, die häufig verwendet werden, um Software zu bündeln und zu komprimieren. Im Laufe der Jahre wurden solche Tools jedoch von Bedrohungsakteuren umfunktioniert, um ihren Nutzdaten eine weitere Ebene der Verschleierung hinzuzufügen und so einer Analyse zu entgehen.

Der zunehmende Missbrauch von BoxedApp-Produkten wie BoxedApp Packer und BxILMerge wird auf mehrere Eigenschaften zurückgeführt, die sie für Angreifer attraktiv machen, die Malware verstecken wollen, um nicht von Sicherheitssoftware entdeckt zu werden.

BoxedApp Packer kann sowohl native als auch .NET-PEs verpacken, während BxILMerge, ähnlich wie ILMerge, nur für das Verpacken von .NET-Anwendungen verwendet wird. Bekanntermaßen zeigen mit BoxedApp gepackte Anwendungen, auch wenn sie nicht bösartig sind, oft eine hohe Rate an Fehlalarmen (False Positives) bei Scans durch Anti-Malware-Programme. „Durch das Verpacken der schädlichen Software konnten die Angreifer die Erkennungsrate bekannter Bedrohungen verringern, die Analyse erschweren und die erweiterten Funktionen des BoxedApp SDK (wie Virtual Storage) nutzen, ohne diese selbst entwickeln zu müssen“, erklärt Vinopal.

Das BoxedApp SDK ermöglicht es, einen benutzerdefinierten Packer zu erstellen, der hochentwickelte Funktionen nutzt und so flexibel ist, dass er statische Erkennungsmethoden umgehen kann.

Malware-Familien wie Agent Tesla, FormBook, LokiBot, Remcos und XLoader wurden auch über einen illegalen Packer namens NSIXloader verbreitet, der das Nullsoft Scriptable Install System (NSIS) verwendet. Die Nutzung dieses Packers zur Verbreitung verschiedener Schadsoftware deutet darauf hin, dass er im Dark Web gehandelt wird und für Cyberkriminelle profitabel ist.

„Cyberkriminelle profitieren von NSIS, weil sie damit Muster erstellen können, die auf den ersten Blick nicht von legitimen Installationsprogrammen zu unterscheiden sind“, erklärt der Check Point Research-Mitarbeiter Alexey Bukhteyev. „Da NSIS die Komprimierung selbst durchführt, müssen Malware-Entwickler keine eigenen Algorithmen zur Komprimierung und Dekomprimierung erstellen. Die Skripting-Fähigkeiten von NSIS ermöglichen es, einige bösartige Funktionen direkt im Skript zu verstecken, was die Analyse erschwert.“

Diese Entwicklung fällt zusammen mit der Enthüllung eines anderen Packers namens Kiteshield durch das QiAnXin XLab-Team. Dieser Packer wird von mehreren Bedrohungsakteuren wie Winnti und DarkMosquito genutzt, um Linux-Systeme anzugreifen. „Kiteshield ist ein Packer/Schutzprogramm für x86-64 ELF-Binärdateien unter Linux“, so die XLab-Experten. „Kiteshield umhüllt ELF-Binärdateien mit mehreren Verschlüsselungsebenen und fügt einen Ladecode hinzu, der die gepackte Binärdatei entschlüsselt, zuordnet und vollständig im Userspace ausführt.“

Diesen Beitrag teilen: