Die Bedrohung durch Cyberkriminalität nimmt weiter zu, und jüngste Untersuchungen von Cybersicherheitsforschern haben einen Anstieg von Malware-Infektionen aufgedeckt, die aus Malvertising-Kampagnen stammen und einen sogenannten Loader namens FakeBat verbreiten.
Laut einem technischen Bericht des Mandiant Managed Defense Teams sind diese Angriffe opportunistischer Natur und zielen auf Benutzer ab, die beliebte Business-Software suchen. Die Infektion nutzt einen trojanisierten MSIX-Installer, der ein PowerShell-Skript ausführt, um eine sekundäre Nutzlast herunterzuladen.
FakeBat, auch bekannt als EugenLoader und PaykLoader, ist mit einer Bedrohungsakteurgruppe namens Eugenfest verbunden. Das von Google betriebene Threat-Intelligence-Team verfolgt die Malware unter dem Namen NUMOZYLOD und hat den Malware-as-a-Service (MaaS)-Betrieb UNC4536 zugeordnet.
Die Angriffsketten, die die Malware verbreiten, nutzen Drive-by-Download-Techniken, um Benutzer, die nach beliebter Software suchen, zu gefälschten Websites zu leiten, die präparierte MSI-Installer hosten. Einige der über FakeBat verbreiteten Malware-Familien sind IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (auch bekannt als ArechClient2) und Carbanak, eine Malware, die mit der FIN7-Cybercrime-Gruppe in Verbindung gebracht wird.
“Die Vorgehensweise von UNC4536 besteht darin, Malvertising zu nutzen, um trojanisierte MSIX-Installer, die als beliebte Software wie Brave, KeePass, Notion, Steam und Zoom getarnt sind, zu verbreiten”, erklärte Mandiant. “Diese trojanisierten MSIX-Installer werden auf Websites gehostet, die legitime Software-Hosting-Sites imitieren, um Benutzer zum Herunterladen zu verleiten.”
Die Besonderheit des Angriffs liegt in der Verwendung von MSIX-Installationsprogrammen, die als Brave, KeePass, Notion, Steam und Zoom getarnt sind und die Fähigkeit haben, ein Skript vor dem Start der Hauptanwendung über eine Konfiguration namens startScript auszuführen.
UNC4536 ist im Wesentlichen ein Malware-Verteiler, was bedeutet, dass FakeBat als Lieferfahrzeug für nachgelagerte Nutzlasten für ihre Geschäftspartner fungiert, einschließlich FIN7.
“NUMOZYLOD sammelt Systeminformationen, einschließlich Details zum Betriebssystem, Domainbeitritt und installierten Antivirenprodukten”, so Mandiant. “In einigen Varianten sammelt es die öffentliche IPv4- und IPv6-Adresse des Hosts und sendet diese Informationen an seinen C2, [und] erstellt eine Verknüpfung (.lnk) im StartUp-Ordner als seine Persistenz.”
Die Offenlegung erfolgt etwas mehr als einen Monat, nachdem Mandiant auch den Angriffslebenszyklus im Zusammenhang mit einem anderen Malware-Downloader namens EMPTYSPACE (auch bekannt als BrokerLoader oder Vetta Loader) detailliert beschrieben hat, der von einer finanziell motivierten Bedrohungsgruppe namens UNC4990 verwendet wurde, um Datenexfiltrations- und Cryptojacking-Aktivitäten zu erleichtern, die auf italienische Einrichtungen abzielen.
Quelle: https://ift.tt/J7ILy0w