Vorsicht vor falschen Rechnungen: : SVG verschleiert Multi-Stage-Malware
Cybersecurity-Forscher haben einen komplizierten, mehrstufigen Angriff entdeckt, bei dem Phishing-Köder mit dem Thema „Rechnung“ genutzt werden, um verschiedene Malware wie Venom RAT, Remcos RAT, XWorm, NanoCore RAT und einen Stealer für Krypto-Wallets zu verbreiten. Die Auslieferung dieser Multi-Stage-Malware erfolgt dabei verschleiert über Scalable-Vector-Graphics-(SVG)-Dateien.
Laut einem technischen Bericht von Fortinet FortiGuard Labs enthalten die bösartigen E-Mail-Nachrichten der neuen Kampagne Anhänge mit SVG-Dateien. Sobald diese angeklickt werden, aktivieren sie eine Infektionssequenz.
Die Angreifer verwenden die BatCloak-Malware-Obfuscation-Engine und das Verschleierungs- und Verschlüsselungs-Framework ScrubCrypt, um ihre Malware in verschleierten Batch-Skripten auszuliefern. BatCloak wird seit Ende 2022 auch anderen Bedrohungsakteuren zum Kauf angeboten und basiert auf einem Tool namens Jlaive. Seine Hauptfunktion besteht darin, die Malware so zu laden, dass sie klassische Erkennungsmechanismen umgeht. ScrubCrypt ist ein Krypter, der erstmals im März 2023 im Zusammenhang mit einer Kryptojacking-Kampagne der 8220 Gang dokumentiert wurde. Trend Micro betrachtet ScrubCrypt als eine Abwandlung von BatCloak.
In der aktuellen Kampagne dient die SVG-Datei als Kanal für ein ZIP-Archiv, das ein Batch-Skript enthält, das wahrscheinlich mit BatCloak erstellt wurde. Dieses Skript entpackt dann die ScrubCrypt-Batch-Datei, um schließlich Venom RAT auszuführen. Vor der Ausführung trifft die Malware jedoch Maßnahmen, um Anti-Malware-Scripting -Interface-(AMSI)– und „Event Tracing for Windows“-(ETW)–Schutzmechanismenzu umgehen und so auf dem betroffenen Host persistent zu bleiben.
Venom RAT ist eine Variante des Quasar RAT: Mit diesem Tool können Angreifer die Kontrolle über infizierte Systeme übernehmen, vertrauliche Informationen sammeln und Befehle vom Command-and-Control-Server (C2) ausführen. Laut der Fortinet-Sicherheitsforscherin Cara Lin ist Venom RAT auf den ersten Blick einfach gestaltet, aber es kann zusätzliche Funktionen über Plugins von seinem C2-Server erhalten. Diese Plugins umfassen Versionen wie Venom RAT v6.0.3 mit einem Keylogger sowie NanoCore RAT, XWorm und Remcos RAT. Die Forscherin erklärt weiter, dass das Remcos RAT-Plugin über drei Methoden von VenomRATs C2 verbreitet wird: durch ein getarntes VBS-Skript namens ‚remcos.vbs‘, ScrubCrypt und den GuLoader PowerShell-Code.
Ein weiteres über das Plugin-System bereitgestelltes Tool ist ein sogenannter Stealer, der Systeminformationen sammelt und Daten aus Ordnern extrahiert, die mit Wallets und Anwendungen wie Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (im März 2023 eingestellt), Zcash, Foxmail und Telegram verknüpft sind. Diese Daten werden dann an einen Remote-Server übertragen.
„Diese Analyse zeigt einen sehr komplexen Angriff, bei dem mehrere Methoden der Verschleierung und Tarnung verwendet werden, um VenomRAT über ScrubCrypt zu verbreiten und auszuführen“, erklärt Lin. „Die Angreifer verwenden verschiedene Tricks wie Phishing-E-Mails mit gefährlichen Anhängen, getarnte Skriptdateien und Guloader PowerShell, um in die Systeme der Opfer einzudringen und sie zu übernehmen. Die Bereitstellung von Plugins über verschiedene Nutzlasten zeigt außerdem, wie vielseitig und anpassungsfähig diese Angriffskampagne ist.“