Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs

Es gibt immer wieder Neuigkeiten zu Malware. Heute werfen wir einen kurzen Blick auf einen Angriff, bei dem Meta-Plattformen genutzt werden, um RAT-Malware auf Android-Systeme zu übertragen, auf eine Angriffstechnik namens „Bring Your Own Vulnerable Driver “, die auf Windows-Nutzer abzielt, und auf eine fortschrittliche, mehrstufige Phishing-Technik, die von einer bekannten, in Russland ansässigen Bedrohungsgruppe verwendet wird.

Malvertising auf Meta zielt auf Android-Systeme ab

Typ: RAT, Spyware

Malware: Brokewell

Verbreitung: Malvertising

Vektor: Meta-Umgebungen

Ziel: Android-Systeme

Aktiv seit: Juli 2024

Es wird berichtet, dass Bedrohungsakteure Malvertising auf Meta-Plattformen nutzen, um gefälschte Software zu verbreiten. Die Anzeigen versprechen eine kostenlose TradingView Premium-App, aber stattdessen installiert das Opfer eine Version der Spyware und des Fernzugriffs-Trojaners (RAT) Brokewell.

Wie in diesem BleepingComputer-Artikel ausführlich beschrieben, nutzt Brokewell eine Vielzahl von Mitteln, um eine Hintertür für den Fernzugriff bereitzustellen, während es Aktivitäten aufzeichnet und vertrauliche Daten sucht und stiehlt, wobei der Schwerpunkt insbesondere auf Finanz- und Kryptowährungsdaten liegt.

Bring Your Own Vulnerable Driver (BYOVD)

Typ: RAT

Malware: ValleyRAT

Verbreitung: Anfällige, von Microsoft signierte WatchDog Antimalware-Treiber

Bedrohungsgruppe: Silver Fox

Ziel: Microsoft Windows 7 bis 11

Wie in SC Media berichtet, verwendet die cyberkriminelle Gruppe Silver Fox eine BYOVD-Angriffstechnik, um Windows-Systeme mit dem Fernzugriffstrojaner ValleyRAT zu infizieren.

Bei BYOVD wird bewusst ein Treiber geladen, der eine bekannte Schwachstelle hat, in diesem Fall ein von Microsoft signierter WatchDog-Antimalware-Treiber (oder ein Zemana-Treiber bei Windows 7-Computern). Diese Treiber waren nicht in der Sperrliste für anfällige Treiber von Microsoft aufgeführt.

Da Treiber mit 0-Level-Zugriff in Ressourcen installiert werden, können Angreifer anschließend unbemerkt den Fernzugriffstrojaner ValleyRAT installieren und sich so Zugriff auf das infizierte System verschaffen und die Kontrolle darüber erlangen.

Eine gründliche technische Analyse finden Sie in diesem Artikel in The Hacker News.

BlackBasta nutzt fortschrittliches Phishing, um Malware zu platzieren

Typ: Verschiedene

Malware: Zbot, DarkGate, benutzerdefinierte Malware

Verbreitung: Innovative Phishing-Techniken

Ende letzten Jahres wurde beobachtet, dass die Bedrohungsgruppe Black Basta eine neuartige Phishing-Technik einsetzte, um Opfer dazu zu verleiten, Malware auf ihren Systemen zu installieren.

Zunächst werden die Ziele mit E-Mails bombardiert, wodurch der Eindruck entsteht, es handele sich um einen laufenden Cyberangriff. Anschließend kontaktieren die Angreifer das Opfer über Microsoft Teams und geben sich als Mitglieder des IT-Helpdesks des Zielunternehmens aus.

Sobald das Opfer den Chat akzeptiert, wird es dazu verleitet, verschiedene Malware-Bedrohungen zu laden. Normalerweise erfasst ein Credential Harvester zuerst die Zugangsdaten des Nutzers, und dann kann die Malware verwendet werden, um einen Loader wie Zbot, Zloader oder DarkGate zu installieren.