Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Gefährliche Malware jetzt unsichtbar : Remcos RAT wird dateilos: Neue Phishing-Welle

Eine neue Welle von Phishing-Angriffen hat gezeigt, wie fortschrittlich Cyberkriminelle vorgehen: Remcos RAT wird erstmals dateilos verteilt, um Sicherheitsmaßnahmen zu umgehen. Mit ausgeklügelten Techniken und der Ausnutzung von Office-Sicherheitslücken wird sie direkt im Arbeitsspeicher ausgeführt, was eine Entdeckung nahezu unmöglich macht.

Lesezeit 2 Min.

„Remcos RAT ist eine Fernzugriffssoftware, die ursprünglich entwickelt wurde, um Nutzern umfangreiche Kontrollmöglichkeiten über ihre eigenen Computer zu bieten. Allerdings wird sie oft von Cyberkriminellen missbraucht, um heimlich auf die Geräte ihrer Opfer zuzugreifen, Daten zu stehlen und schädliche Aktivitäten durchzuführen“, erklärt Xiaopeng Zhang, ein Sicherheitsexperte bei den Fortinet FortiGuard Labs. Die Angriffe starten in der Regel mit einer Phishing-E-Mail, die den Empfänger dazu verleiten soll, einen infizierten Excel-Anhang zu öffnen. Dieser manipulierte Anhang seinerseits nutzt eine bekannte Sicherheitslücke in Microsoft Office (CVE-2017-0199, CVSS-Wert: 7.8) aus, um eine schädliche Datei (eine sogenannte HTA-Datei) herunterzuladen und zu starten.

Die HTA-Datei ist in mehreren Schichten von Code (JavaScript, Visual Basic Script und PowerShell) verpackt, um eine Erkennung zu erschweren. Ihr Hauptziel ist es, eine weitere schädliche Datei namens „cookienetbookinetcahce.hta“ von einem entfernten Server („192.3.220[.]22“) herunterzuladen und sie mit mshta.exe auszuführen. Diese führt dann ein weiteres PowerShell-Skript aus und nutzt spezielle Techniken, um Analyse- und Debugging-Versuche zu umgehen. Der Schadcode lädt und startet schließlich die Remcos RAT-Software, jedoch ohne eine Datei auf der Festplatte zu speichern. Stattdessen wird Remcos direkt im Arbeitsspeicher ausgeführt, was eine Erkennung durch Sicherheitsprogramme erschwert.

Remcos RAT erlaubt dem Angreifer umfassende Kontrolle über den infizierten Computer. Er kann Dateien und Prozesse verwalten, auf die Zwischenablage zugreifen, Kamera und Mikrofon aktivieren, den Bildschirm aufzeichnen und sogar Befehle ausführen. Der Angreifer kann so sensible Informationen sammeln und das Gerät für weitergehende, bösartige Aktionen nutzen.

Weitere neue Phishing-Kampagnen entdeckt

Wallarm hat aufgedeckt, dass Cyberkriminelle die APIs von DocuSign missbrauchen, um täuschend echt aussehende Rechnungen zu versenden und so ahnungslose Benutzer in großangelegte Phishing-Angriffe zu verwickeln. Der Angriff funktioniert so, dass die Kriminellen ein legitimes, kostenpflichtiges DocuSign-Konto erstellen. Dies erlaubt ihnen, Vorlagen anzupassen und die API direkt zu nutzen. Sie erstellen dann speziell designte Rechnungsvorlagen, die Dokumentenanforderungen bekannter Marken wie Norton Antivirus imitieren, um Benutzer zu täuschen.

„Im Gegensatz zu typischen Phishing-Mails, die auf gefälschte Links setzen, verwenden die Angreifer echte DocuSign-Konten und Vorlagen“, so Wallarm. Dadurch wirken die Nachrichten authentisch und umgehen oft Sicherheitsüberprüfungen. Sobald der Benutzer ein solches Dokument unterschreibt, kann der Angreifer das signierte Dokument nutzen, um Zahlungen außerhalb von DocuSign anzufordern oder es zur weiteren Bearbeitung direkt an die Finanzabteilung zu senden.

Zusätzlich setzen neuere Phishing-Kampagnen oft eine Technik namens ZIP-Dateiverkettung ein, um Malware zu verbreiten und Sicherheitsmaßnahmen zu umgehen. Dabei hängen die Angreifer mehrere ZIP-Dateien aneinander, die durch erneutes Zippen als nur eine einzige Datei gespeichert werden. Das führt zu Sicherheitsproblemen, da Programme wie 7-Zip und Windows File Explorer diese Dateien unterschiedlich behandeln und analysieren. So kann Malware unbemerkt durch Sicherheitssysteme gelangen.

Perception Point erklärt: „Angreifer nutzen die unterschiedlichen Entpackmethoden von ZIP-Programmen, um gezielt Nutzer bestimmter Tools anzugreifen. Oft wird der versteckte Schadcode übersehen, wodurch die Malware unentdeckt bleibt und den Benutzer infizieren kann.“

Neu entdeckte Aktivitäten des als Venture Wolf bekannten Bedrohungsakteurs sind auf russische Unternehmen im Bau-, IT- und Telekommunikationsbereich ausgerichtet. Dieser Akteur verwendet die MetaStealer-Malware, eine Variante der bekannten RedLine Stealer-Malware, um sensible Daten zu stehlen.

Diesen Beitrag teilen: