Stealer-Malware Ave_Maria
Anti-Phishing-Spezialist Cofense verzeichnet einen Anstieg von Phishing-Kampagnen, die auf die Verbreitung einer Art von Stealer-Malware namens Ave_Maria abzielen, wie zdnet.de berichtete.
Die Malware nutzt mittels DLL-Hijacking eine ungepatchte Schwachstelle aus, um Administratorrechte zu erlangen und eine Erkennung zu vermeiden. Sie stiehlt Informationen und lädt zusätzliche Plugins herunter. Laut Cofense kann Ave_Maria zahlreiche Sicherheitslösungen umgehen.
Attacke über die Schwachstelle CVE-2017-11882
Wie CERT Italia informiert, wurde Ave_Maria Ende 2018 für einen Phishing-Angriff auf eine italienische Firma aus dem Energiesektor verwendet. Der Angriff erfolgte über eine Excel-Datei, deren Inhalt die Schwachstelle CVE-2017-11882 ausgenutzt hat.
Die von Ave_Maria verwendeten Techniken zur Rechteausweitung stammen laut Cofense von dem öffentlich verfügbaren UACME-Dienstprogramm, das eine Form von DLL-Hijacking verwendet. Obwohl es sich um einen bekannten und dokumentierten Exploit handelt, gibt es keine eindeutigen Beweise dafür, dass ein Fix für DLL-Hijacking ausgegeben wird oder dass die Schwachstelle behoben wurde. Diese Methode der Rechteausweitung durch DLL-Hijacking nutzt pkgmgr.exe – einer legitimen Whitelist-Anwendung, die automatisch mit erhöhten Rechten ausgeführt wird.
Wenn die Malware erhöhte Berechtigungen erlangt
Sobald Ave_Maria sich ins System eingenistet hat und über erhöhte Berechtigungen verfügt, versucht es, einige grundlegende Aktivitäten zum Stehlen von Informationen durchzuführen, wobei es auf gespeicherte Anmeldeinformationen für Google Chrome, Thunderbird, Microsoft Outlook und andere Anwendungen abzielt.
Es exfiltriert dann einige grundlegende Informationen, einschließlich des Benutzernamens, bevor es versucht, eine ausführbare Datei herunterzuladen, die für den Diebstahl weiterer Informationen verwendet wird.
Fazit
Die Verwendung des Tools zur Rechteausweitung und mehrerer eingebetteter Binärdateien durch Ave_Maria ermöglicht es, Erkennungs- und Berechtigungsbeschränkungen für viele Endpunkte zu umgehen. Die Nutzung öffentlich zugänglicher Dienstprogramme durch Bedrohungsakteure, die bekannte, nicht gepatchte Schwachstellen ausnutzen, zeigt, wie sich die Sicherheitsherausforderungen ständig weiterentwickeln und wie vorbeugende Maßnahmen nicht immer Schritt halten können, so zdnet.de.