
Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Es gibt immer wieder Neuigkeiten zu Malware. Heute werfen wir einen kurzen Blick auf einen Angriff, bei dem Meta-Plattformen genutzt werden, um RAT-Malware auf Android-Systeme zu übertragen, auf eine Angriffstechnik namens „Bring Your Own Vulnerable Driver “, die auf Windows-Nutzer abzielt, und auf eine fortschrittliche, mehrstufige Phishing-Technik, die von einer bekannten, in Russland ansässigen Bedrohungsgruppe verwendet wird.
Malvertising auf Meta zielt auf Android-Systeme ab
Typ: RAT, Spyware
Malware: Brokewell
Verbreitung: Malvertising
Vektor: Meta-Umgebungen
Ziel: Android-Systeme
Aktiv seit: Juli 2024
Es wird berichtet, dass Bedrohungsakteure Malvertising auf Meta-Plattformen nutzen, um gefälschte Software zu verbreiten. Die Anzeigen versprechen eine kostenlose TradingView Premium-App, aber stattdessen installiert das Opfer eine Version der Spyware und des Fernzugriffs-Trojaners (RAT) Brokewell.
Wie in diesem BleepingComputer-Artikel ausführlich beschrieben, nutzt Brokewell eine Vielzahl von Mitteln, um eine Hintertür für den Fernzugriff bereitzustellen, während es Aktivitäten aufzeichnet und vertrauliche Daten sucht und stiehlt, wobei der Schwerpunkt insbesondere auf Finanz- und Kryptowährungsdaten liegt.
Bring Your Own Vulnerable Driver (BYOVD)
Typ: RAT
Malware: ValleyRAT
Verbreitung: Anfällige, von Microsoft signierte WatchDog Antimalware-Treiber
Bedrohungsgruppe: Silver Fox
Ziel: Microsoft Windows 7 bis 11
Wie in SC Media berichtet, verwendet die cyberkriminelle Gruppe Silver Fox eine BYOVD-Angriffstechnik, um Windows-Systeme mit dem Fernzugriffstrojaner ValleyRAT zu infizieren.
Bei BYOVD wird bewusst ein Treiber geladen, der eine bekannte Schwachstelle hat, in diesem Fall ein von Microsoft signierter WatchDog-Antimalware-Treiber (oder ein Zemana-Treiber bei Windows 7-Computern). Diese Treiber waren nicht in der Sperrliste für anfällige Treiber von Microsoft aufgeführt.
Da Treiber mit 0-Level-Zugriff in Ressourcen installiert werden, können Angreifer anschließend unbemerkt den Fernzugriffstrojaner ValleyRAT installieren und sich so Zugriff auf das infizierte System verschaffen und die Kontrolle darüber erlangen.
Eine gründliche technische Analyse finden Sie in diesem Artikel in The Hacker News.
BlackBasta nutzt fortschrittliches Phishing, um Malware zu platzieren
Typ: Verschiedene
Malware: Zbot, DarkGate, benutzerdefinierte Malware
Verbreitung: Innovative Phishing-Techniken
Ende letzten Jahres wurde beobachtet, dass die Bedrohungsgruppe Black Basta eine neuartige Phishing-Technik einsetzte, um Opfer dazu zu verleiten, Malware auf ihren Systemen zu installieren.
Zunächst werden die Ziele mit E-Mails bombardiert, wodurch der Eindruck entsteht, es handele sich um einen laufenden Cyberangriff. Anschließend kontaktieren die Angreifer das Opfer über Microsoft Teams und geben sich als Mitglieder des IT-Helpdesks des Zielunternehmens aus.
Sobald das Opfer den Chat akzeptiert, wird es dazu verleitet, verschiedene Malware-Bedrohungen zu laden. Normalerweise erfasst ein Credential Harvester zuerst die Zugangsdaten des Nutzers, und dann kann die Malware verwendet werden, um einen Loader wie Zbot, Zloader oder DarkGate zu installieren.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.