Warnung vor neuem Infostealer, der sich über Google-Ads verbreitet

Der Sicherheitsdienstanbieter Zscaler warnt vor einem erstmals im Dezember 2022 entdeckten Infostealer, der in der Lage ist, Anmeldeinformationen von Webbrowsern, VPN-Clients, E-Mail-Clients und Chat-Clients sowie von Kryptowährungswallets zu stehlen. Die in C++ geschriebene Malware bestehe aus einem Loader und dem Hauptmodul, erläutern die Sicherheitsexperten des Zscaler ThreatLabZ-Teams. Letzteres sei für das Exfiltrieren der gesammelten Anmeldedaten verantwortlich. Es handele sich um ein bösartiges Schadprogramm, dass sich vornehmlich über Google-Ads verbreitet.

Der Sicherheitsdienstanbieter Zscaler warnt vor einem erstmals im Dezember 2022 entdeckten Infostealer, der in der Lage ist, Anmeldeinformationen von Webbrowsern, VPN-Clients, E-Mail-Clients und Chat-Clients sowie von Kryptowährungswallets zu stehlen. Die in C++ geschriebene Malware bestehe aus einem Loader und dem Hauptmodul, erläutern die Sicherheitsexperten des Zscaler ThreatLabZ-Teams. Letzteres sei für das Exfiltrieren der gesammelten Anmeldedaten verantwortlich. Es handele sich um ein bösartiges Schadprogramm, dass sich vornehmlich über Google-Ads verbreitet.

Das Team des US-amerikanischen Sicherheitsdienstanbieters hat den Stealer, der nach einer Figur in der griechischen Mythlogie – einem Richter über die Toten – benannt ist, einer umfangreichen Analyse unterzogen und ihn dechiffriert. Rhadamanthys hat demnach komplexe Anti-Analyse-Techniken implementiert und basiert auf Open-Source-Bibliotheken. Der Stealer ist in der Lage, Anmeldeinformationen von verschiedenen Anwendungen wie Keepass und Kryptowährungsbörsen zu extrahieren. Einer der vom Zscaler-Team entdeckten Loader schützt verschiedene Teile seines Codes unter Verwendung eines virtuellen Frameworks, das auf der Quake III-Engine aufbaut. Darüber hinaus stellte das ThreatLab-Team fest, dass der Stealer eine Variante des Hidden Bee-Formats verwendet und über ein eigenes Dateisystem samt zusätzlichem Satz an eingebetteten Modulen verfügt.

Bei der Analyse von Rhadamanthys haben die Sicherheitsexperten von Zscaler drei Phasen (Initialisierung, Dekompression und den eigentlichen Ladevorgang) im Ladeprozess ausgemacht, wobei Rhadamanthys zwei verschiedene Loader verwendet. Der Stealer führt den Shellcode-Loader des Hauptmoduls aus, der einen AES-Schlüssel aus dem öffentlichen Schlüssel und dem Salt-Wert der Konfigurationsstruktur ableitet und die letzte Ebene des Hauptmoduls entschlüsselt. Das entschlüsselte Ergebnis wird dann mit dem LZSS-Algorithmus dekomprimiert. Als weitere Anspielung auf die griechische Mythologie startet der entschlüsselte Output mit dem String ‘!HADES’, einem Verweis auf die mythische antike Unterwelt und ihren Herrscher.

Die weitere Funktionsweise erläutert das Zscaler-ThreatLabZ-Teams wie folgt: Bei der Ausführung wird die C-Funktionszeit aufgerufen, um die aktuelle Ortszeit des kompromittierten PCs zu ermitteln, gefolgt von einem Aufruf der srand-Funktion mit der Zeit als Seed. Schließlich wird der geheime Skalarwert durch Aufruf der C-Funktion rand erzeugt. Damit können die generierten Schlüssel mit Brute-Force erzwungen werden, wenn eine Netzwerkaufzeichnung der ersten Anfrage an den Server gestellt wird, die sowohl den öffentlichen Schlüssel als auch die Epoch-Zeit enthält. Zumindest für die Kunden der Zscaler-Produkte können die Experten Entwarnung geben, da die Zscaler Cloud Sandbox die Malware erkennt und sich diverse Indikatoren für Datenleckrisiken auf verschiedenen Ebenen der Zscaler-eigenen Cloud Security Plattform detektieren und als WIN32.PWS.Rhadamanthys einordnen ließen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben