Business Security, Sicher & Anonym

Neuer Remote Access Trojaner ShellReset entdeckt

Der Remote Access Trojaner verbreitet sich über Makro-basierte Dokumente durch die Umgehung von AppLocker

Das ThreatLabZ-Sicherheitsteam von Zscaler hat einen neuen Remote Access Trojaner (RAT) entdeckt, der auf den Namen ShellReset getauft wurde. Zudem wurden vier bösartige makrobasierte Microsoft Word-Dokumente entdeckt, die auf neu registrierten Webseiten mit den Top-Level-Domains „.space“ und „.xyz“ gehostet wurden. Die Researcher schreiben alle Angriffe aufgrund von ähnlichen Taktiken, Techniken und Verfahren (TTPs) zur Bereitstellung der endgültigen Payload dem gleichen Cyberkriminellen zu.

Die finale .NET-Payload war, soweit Zscaler bekannt, zuvor noch nicht „in the wild“ aufgetaucht. Sie enthält einen kleinen Codeabschnitt, der sich mit dem des QuasarRAT überschneidet. Aufgrund der wenigen Fälle, die in der Praxis beobachtet wurden, gehen die Sicherheitsforscher von gezielten Angriffen mit geringem Volumen aus. Die Cyberkriminellen nutzen wie so oft die Aufmerksamkeit rund um publikumswirksame Events, um ihren Schadcode zu verbreiten.

Strategie zur Verbreitung des RAT

Die Infektionskette beinhaltet eine Reihe von interessanten Techniken. So wird beispielsweise das Kompilieren der Payload in Runtime unter Verwendung vertrauenswürdiger Windows-Utilities eingesetzt, um Sicherheitsmechanismen zu unterlaufen. Die nachfolgenden Schritte werden durch den Download von verschleiertem Quellcode vom Server des Angreifers eingeleitet.

Erstmalig wurde die Malware-Kampagne im Zusammenhang mit den zwei Events 5G Expo und Futurebild am 24. Februar 2020 in Dokumenten mit dem Dateinamen 5GExpo.doc. und FutureBuild.doc beobachtet, wobei jeweils Anmeldungs-Gutscheine für die Veranstaltungen nachgeahmt wurden. Diese beiden Dokumente wurden auf der Domäne „documentsharing[.]space“ gehostet, die am 21. Oktober 2019 registriert worden war. Im Folgenden tauchten mit Schadcode infizierte Dokumente wieder im Mai auf einer weiteren Domäne auf mit einem Dateianhang mit dem Namen Get%20Stared.doc auf. Dabei bedienten sich die Cyberkriminellen Textpassagen von legitimen Webseiten, um Authentizität ihre Inhalte zu suggerieren. Diesmal wurde die populäre Seite anonfiles.com zum Hosten des Dokuments nachgeahmt. Auffällig war allerdings die einheitliche Vorgehensweise in den URLs, die die Dokumente beinhalteten. Es wurde jeweils der Parameter “?clientEmail=” eingebaut, der die Emailadresse des Users beinhaltete, auf den ein gezielter Angriff ausgerichtet wurde. 

Sobald das makrobasierte Dokument geöffnet wird, erscheint der Hinweis, dass der Anwender Makros aktivieren muss, um die Inhalte des Dokuments zu sehen. Daraufhin wird die Auto_Open() Routine des Makros gestartet und der Angriff auf das betroffene System ausgeführt. In diesem Zug wird die genaue Identität des betroffenen Systems erfasst und die Windows Sicherheitsmaßnahmen außer Kraft gesetzt. Nach erfolgreicher Registrierung des Bots auf dem C&C Server können vier Operationen ausgeführt werden, darunter das Ausführen von Code auf dem infizierten Rechner und im Folgenden das Auslesen aller Dateien eines bestimmten Pfads, bzw. die Remote gesteuerte Aufnahme von Screenshots des Systems. 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben