Cyberkriminelle verwenden zunehmend Steganografie, um schädliche Software in unscheinbaren Dateien wie Bildern oder Dokumenten zu verbergen. Diese Methode ermöglicht es ihnen, Sicherheitssysteme zu umgehen und unentdeckt zu bleiben, was ihre Cyberangriffe ausgeklügelter und schwerer zu erkennen macht.
Analysten des Morphisec Threat Labs haben kürzlich aufgedeckt, dass Angreifer aktiv Steganografie-Methoden nutzen, um Malware in PNG-Dateien zu verstecken. Diese versteckte Malware kann mit Hilfe der ANY.RUN Malware-Sandbox analysiert werden, die eine direkte Interaktion mit dem Betriebssystem über den Browser ermöglicht und Einblick in Datei-, Netzwerk-, Modul- und Registrierungsaktivitäten bietet.
In einer spezifischen Kampagne wurde festgestellt, dass der Bedrohungsakteur UAC-0184 den Remcos RAT an eine ukrainische Entität in Finnland lieferte. Dabei wurde ein sogenannter IDAT-Loader verwendet, der steganografische Techniken nutzt, um den schädlichen Code in Bildern oder Videos zu verbergen. Diese Techniken ermöglichen es der Malware, Verteidigungsmechanismen zu umgehen und im Speicher des Opfers ausgeführt zu werden.
Remcos ist ein kommerziell verfügbarer Remote-Access-Trojaner, der es Angreifern erlaubt, infizierte Computer zu kontrollieren, Daten zu stehlen und Aktivitäten zu überwachen. Laut einem Bericht von ANY.RUN ist Remcos die am häufigsten hochgeladene Bedrohung unter den Malware-Proben.
Morphisec hat Remcos in verschiedenen Angriffskampagnen identifiziert, darunter in Verbindung mit Guloader und dem Babadeda-Crypter. Eine frühzeitige Erkennung spielte eine entscheidende Rolle bei der Eindämmung und Reaktion auf diese Angriffe.
Der IDAT-Loader, der den Remcos RAT liefert, zeigt die fortschrittlichen Techniken der Angreifer. Der Loader verwendet steganografische Methoden, um die Payload aus einer PNG-Datei zu extrahieren. Die Malware wird in mehreren Phasen geladen und verwendet Techniken wie dynamisches Laden, HTTP-Verbindungstests und Systemaufrufe zur Umgehung von Sicherheitslösungen.
Die Angreifer verwenden eine spezielle Kennzeichnung (0xEA79A5C6) in der PNG-Datei, um den Startpunkt der Payload zu markieren. Das Hauptziel ist es, die ‚PLA.dll‘ zu laden und ‚Module Stomping‘ einzusetzen, indem der Code der nächsten Phase injiziert wird, um Sicherheitslösungen zu umgehen.
Diese Entdeckungen unterstreichen die Notwendigkeit für Organisationen, ihre Sicherheitsmaßnahmen zu verstärken und wachsam gegenüber ausgefeilten Angriffstechniken zu sein, die herkömmliche Verteidigungsstrategien umgehen können.