Barracuda full logo

Malware-Bericht: XWorm, TrickMo und Remcos

Themen:
23. Okt.. 2025
|
Tony Burgess

Kurz vor Halloween widme ich diesen Malware-Bericht den Bedrohungen, die sich selbst transformieren oder sich erheblich geändert haben. So, als ob sie sich verkleidet hätten, verstehen Sie? Okay, nicht die beste Überleitung aller Zeiten, aber ich hoffe, der Bericht ist trotzdem interessant.

Widmen wir uns drei Bedrohungen. Als Erstes kommt XWorm, ein Remote Access Trojaner (RAT), der alles kann und viele verschiedene Techniken nutzt, um sich in Netzwerke einzuschleichen. Seine breite Verfügbarkeit in gecrackter Form hat zu seiner wachsenden Popularität beigetragen.

Als Nächstes kommt TrickMo, ein Android-Trojaner, der als Malware TrickBot für Desktops begann und jetzt auch Mobilgeräte betrifft.

Schließlich sehen wir uns Remcos genauer an, ein legitimes Fernzugriffstool, das wie viele andere als RAT umfunktioniert wurde und seine Natur verschleiert und Advanced Persistent Threats (APTs) auslöst.

XWorm: Nimmt wie ein Schweizer Taschenmesser verschiedene Gestalten an

Typ: Modular RAT

Fähigkeiten: Webcam-Spionage, Hijacking der Zwischenablage, Ransomware-ähnliches Verhalten und mehr

Schlüsseltechniken: AMSI-Bypass, PowerShell/VBS-Loader, USB-Propagation, HVNC usw.

Bedrohungsakteure: TA558, NullBuldge, UAC-0184

Verteilung: Wurde ursprünglich als Malware-as-a-Service mit mehreren Stufen und Fähigkeiten verkauft, später weit verbreitet in kostenlosen Crack-Versionen erhältlich

XWorm erfreut sich großer Beliebtheit, nicht nur weil gecrackte Versionen kostenlos erhältlich sind, sondern auch weil es äußerst benutzerfreundlich ist, eine Vielzahl von Fähigkeiten bietet und von seinen Entwicklern regelmäßig aktualisiert wird. Dies macht es nicht nur bei organisierten, professionellen Cyberkriminellen-Gruppen wie TA558, NullBuldge und UAC-0184 sehr beliebt, sondern auch bei Amateur-Hackern mit begrenzten Fähigkeiten und Fertigkeiten.

Einer der Gründe, warum XWorm so schwer zu entdecken ist, ist seine dynamische Vorgehensweise bei der Infektion. Es verwendet eine breite Palette von Ladeprogrammen und wechselt zwischen verschiedenen Dateiformaten und Skriptsprachen, darunter PowerShell, VBS, .NET-Executables, JavaScript, Batch-Skripte, .hta, .lnk, .iso, .vhd, .img, und mehr, um seine Nutzlast einzubringen und zu laden. Dadurch lassen sich konventionelle Endpunktschutzmaßnahmen und Sandboxing-Tools umgehen.

TrickMo: Android-Trojaner mit TrickBot-Vermächtnis

Typ: Banking-Trojaner

Fähigkeiten: Ermöglicht die Fernsteuerung des infizierten Geräts sowie das Abgreifen von Dateien, die Erfassung von Tastatureingaben und mehr

Bedrohungsakteure: Mitglieder der mittlerweile aufgelösten TrickBot-Gruppe

Verbreitung und Infektion: Der Dropper tarnt sich als Google Chrome-Webbrowser, der den Nutzer auffordert, die Google Play-Dienste zu aktualisieren, woraufhin eine APK-Datei mit der TrickMo-Nutzlast heruntergeladen wird.

Zielsysteme: Android-Mobilgeräte

TrickMo basiert auf dem seit langem existierenden TrickBot-Trojaner, der auf Windows-Desktopsysteme abzielt, und veranschaulicht, wie Desktop-Malware auf Mobilgeräte übergreift. Indem der Nutzer aufgefordert wird, barrierefreie Dienste zu aktivieren, erhält TrickMo umfangreiche Möglichkeiten zur Kontrolle und zum Zugriff auf das Gerät und die darauf gespeicherten Daten.

In seinen neuesten Varianten verwendet TrickMo gefälschte Sperrbildschirme und Anmeldebildschirme, um Nutzer-Zugangsdaten zu stehlen. Er ist jedoch auch in der Lage, Einmal-Passwörter abzufangen, Bildschirminteraktionen einschließlich Entsperrmustern aufzuzeichnen, Daten über 22 verschiedene bekannte Command-and-Control-Infrastrukturen zu exfiltrieren, automatisch Berechtigungen zu erteilen und vieles mehr.

Er widersetzt sich der Analyse und verschleiert seine Natur durch die Verwendung fehlerhafter .zip-Dateien zur Verteilung, unter anderem Techniken.

Remcos: Legitimes Fernzugriffstool wird bösartig

Typ: Kommerzielles Fernzugriffstool, das häufig in Phishing-Kampagnen und Exploit-Kits missbraucht wird

Fähigkeiten: Ermöglicht Angreifern, die administrative Kontrolle über Zielsysteme zu übernehmen, Daten zu finden und zu exfiltrieren sowie weitere Aktionen durchzuführen.

Bedrohungsakteure: APT33, The Gorgon Group, UAC-0050

Verbreitung und Infektion: Phishing-E-Mails verleiten Nutzer dazu, eine scheinbar harmlose Datei herunterzuladen, die ein OLE-Objekt enthält, das die Schwachstelle CVE-2017-0199 (Remote Code Execution) ausnutzt.

Obwohl die Schwachstelle CVE-2017-0199 seit 2017 bekannt ist, gibt es viele ungepatchte Systeme, die Angreifern zahlreiche Möglichkeiten bieten, diese weiterhin auszunutzen.

Der Trend hält an, dass Cyberkriminelle mithilfe von kommerziellen Fernzugriffstools wie Remcos die Kontrolle über die Zielsysteme übernehmen. Während solche Tools für den IT-Support und die Fernsteuerung von Bürosystemen von externen Standorten aus legitim sind, hat die Verwendung dieser Tools für illegale Zwecke erhebliche Security-Auswirkungen.

Gegenwehr

Die Bekämpfung dieser Angriffe hängt von folgenden Faktoren ab:

  • Einer robusten Cybersecurity-Infrastruktur, die KI-gestützte Erkennungstechnologien nutzt, um fortgeschrittene Verschleierungstechniken zu bekämpfen
  • Gut geschulten Nutzern, die verdächtige E-Mails erkennen, bei denen es sich um Phishing-Versuche handeln könnte, und deren Echtheit immer bestätigen, bevor sie Maßnahmen ergreifen.
  • Systemen und Software, die stets auf dem neuesten Stand sind.
BarracudaONE Cybersecurity-Plattform erkunden
Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Verwandte Beiträge:
E-Mail-Bedrohungsradar – November 2025
E-Mail-Bedrohungsradar – November 2025
 EtherHiding verschafft Cyberkriminellen Zugang zu Blockchain-Netzwerken, die unempfindlich gegen Abschaltungen sind.
EtherHiding verschafft Cyberkriminellen Zugang zu Blockchain-Netzwerken, die unempfindlich gegen Abschaltungen sind.
 Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
 Cyberkriminelle werden immer jünger und gefährlicher
Cyberkriminelle werden immer jünger und gefährlicher
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.