Cybersicherheitsforscher haben eine neue, ausgeklügelte Malware-Kampagne aufgedeckt, die eine als Cisco Webex-Installationsprogramm getarnte Software verwendet, um Schadsoftware zu verbreiten und sensible Daten zu stehlen.

Die Taktik der Angreifer 

Die Angreifer nutzten geschickt gestaltete soziale Ingenieurstechniken, um Nutzer dazu zu bringen, passwortgeschützte Archive herunterzuladen, die vorgeben, legitime Software zu sein. Die Archive, oft mit Passwörtern wie (!$Full_pAssW0rd_4434_$etup.zip) gesichert, enthalten eine versteckte RAR-Archivdatei und Textdateien.

Eine Untersuchung durch VirusTotal offenbarte seit 2024 etwa 400 ähnlich benannte Dateien, was auf eine umfangreiche Kampagne hinweist. Diese nutzt häufige Suchbegriffe nach piratierter Software und integriert spezifische Muster in die Dateinamen, um Nutzer zu ködern.

Der Angriffsablauf 

Die Angreifer lockten einen Nutzer dazu, eine als legitimes Cisco Webex-Installationsprogramm getarnte Datei (Setup.exe) auszuführen. Diese nutzte eine DLL-Side-Loading-Schwachstelle im echten ptService.exe Modul, um ein verstecktes Laderprogramm zu starten. Anschließend tarnte sich der Lader weiter, indem er sich in einen anderen, vertrauenswürdigen Prozess (more.com) einnistete.

HijackLoader und weiterführende Schritte 

Der HijackLoader, ein Malware-Lader, lädt und führt ein AutoIT-Skript (GraphicsFillRect.au3) aus, das Zugangsdaten stiehlt und eine beständige Verbindung zu einem Command-and-Control-Server herstellt. Dieser Server wurde als Teil des Vidar-Botnetzes identifiziert.

Das AutoIT-Skript erfasste Anmeldedaten aus den Browsern Chrome und Firefox sowie aus Zoom und etablierte eine Verbindung zu einem verdächtigen C2-Server (78.47.78.87). Zusätzlich lud das Skript weitere ausführbare Dateien in den Ordner ProgramData, was auf weiterführende bösartige Aktivitäten hinweist.

Umfangreiche Sicherheitsgefährdung 

Die Malware nutzte eine COM Elevation Moniker-Schwachstelle, um die Benutzerkontensteuerung zu umgehen und Administratorrechte zu erlangen. Anschließend deaktivierte sie Windows Defender, indem sie sich selbst zur Ausschlussliste hinzufügte.

Zuletzt injizierte die Malware sich in MSBuild.exe, welche sich mit einer verdächtigen IP-Adresse verband und einen Kryptominer herunterlud. Abschließend startete die Malware ein PowerShell-Skript, das eine Reihe von verschleierten Befehlen ausführte und schlussendlich eine bösartige DLL durch einen legitimen VMware-Prozess einband.

Empfehlungen zur Verteidigung 

Unternehmen und Einzelpersonen werden dringend aufgefordert, ihre Netzwerke und Systeme regelmäßig zu überwachen und zu aktualisieren, um sich vor solch fortschrittlichen Bedrohungen zu schützen. Die umfassende Nutzung von Multi-Faktor-Authentifizierung und fortgeschrittenen Sicherheitslösungen wird empfohlen, um solche Angriffe effektiv abwehren zu können.