Warnung vor Trojanern auf AWS und GitHub
Sicherheitsexperten haben eine neue Phishing-Kampagne gefunden. Dabei platzieren Cyberkriminelle auf öffentlichen Diensten wie Amazon Web Services (AWS) und GitHub einen bösartigen, Java-basierten Downloader. Dieser hilft ihnen, Remote-Access-Trojaner (RAT) wie VCURMS und STRRAT zu verbreiten.
Laut den Experten von Fortinet FortiGuard Labs haben die Angreifer ihre auf AWS und GitHub gespeicherte Malware mit einen kommerziellen Schutzprogramm gesichert, um die Entdeckung der Malware zu vermeiden. Ein weiterer ungewöhnlicher Aspekt der Kampagne ist die Verwendung einer Proton Mail-E-Mail-Adresse („sacriliage@proton[.]me“) durch VCURMS für die Kommunikation mit einem Command-and-Control-Server (C2).
Die Angriffskette beginnt mit einer Phishing-E-Mail, in der die Empfänger aufgefordert werden, auf eine Schaltfläche zur Überprüfung der Zahlungsinformationen zu klicken, was zum Download einer bösartigen JAR-Datei („Payment-Advice.jar“) führt, die auf AWS gehostet wird.
Das Ausführen der JAR-Datei führt zum Abruf von zwei weiteren JAR-Dateien, die dann separat ausgeführt werden, um die beiden Trojaner zu starten.
VCURMS RAT sendet nicht nur eine E-Mail mit der Nachricht „Hey master, I am online“ an die vom Angreifer kontrollierte Adresse, sondern überprüft auch regelmäßig das E-Mail-Postfach auf Nachrichten mit bestimmten Betreffzeilen. Dadurch kann er Befehle extrahieren, die im Text der Nachricht enthalten sind.
Diese Befehle ermöglichen es dem Angreifer, verschiedene Aktionen durchzuführen, wie das Ausführen von Befehlen mit cmd.exe, das Sammeln von Systeminformationen, das Durchsuchen und Hochladen interessanter Dateien und das Herunterladen zusätzlicher Informationsdiebstahl- und Keylogger-Module vom selben AWS-Endpunkt.
Der Information Stealer ist in der Lage, sensible Daten aus Anwendungen wie Discord und Steam, Anmeldeinformationen, Cookies und Auto-Fill-Daten aus verschiedenen Webbrowsern, Screenshots sowie umfangreiche Hardware- und Netzwerkinformationen von den kompromittierten Hosts abzufangen.
VCURMS und STRRAT sind zwei bösartige Programme, die auf Java basieren und ähnliche Funktionen haben. VCURMS wird nachgesagt, dass es Ähnlichkeiten mit einem anderen Java-basierten Infostealer namens Rude Stealer hat, der Ende letzten Jahres aufgetaucht ist. Im Gegensatz dazu ist STRRAT seit mindestens 2020 bekannt und verbreitet sich häufig in Form von betrügerischen JAR-Dateien.
Fortinet erklärt, dass STRRAT Remote Access Trojaner auf Java-Basis mit einer Vielzahl von Fähigkeiten ist. Dazu gehören das Aufzeichnen von Tastatureingaben (Keylogging) und das Extrahieren von Anmeldedaten aus Browsern und Anwendungen.
Erst vor kurzem hatte Darktrace eine neue Art von Phishing-Kampagne entdeckt, die einem ähnlichen Schema folgt. Dabei werden automatisierte E-Mails genutzt, die vom Cloud-Speicherdienst Dropbox über „no-reply@dropbox[.]com“ gesendet werden. Diese E-Mails enthalten einen gefälschten Link, der die Anmeldeseite von Microsoft 365 imitiert.
Laut Darktrace führte der Link in der E-Mail die Nutzer zu einer PDF-Datei, die auf Dropbox gehostet wurde und den Anschein erweckte, von einem Geschäftspartner des Unternehmens zu stammen. In der PDF-Datei befand sich ein verdächtiger Link zu einer Domain mit dem Namen „mmv-security[.]top“, die zuvor noch nie in der Umgebung des Kunden gesehen wurde.