Aktuelle Berichte deuten darauf hin, dass Bedrohungsakteure Phishing-E-Mails verwendet haben, um dateilose Malware zu verbreiten. Der Anhang besteht aus einer .hta (HTML-Anwendungs) Datei, die zur Bereitstellung anderer Malware wie AgentTesla, Remcos und LimeRAT verwendet werden kann.

Diese dateilose Malware hat ein ausführbares Portable Executable (PE) Format, das ohne Erstellung der Datei auf dem System des Opfers ausgeführt wird. Die Phishing-E-Mail enthält den Kontext einer Banküberweisung. Zusätzlich zur E-Mail enthält der Anhang ein ISO-Image, in dem eine .hta Skriptdatei eingebettet ist. Diese Datei wird mithilfe von mshta.exe (Microsoft HTML-Anwendung) ausgeführt.


Dateilose Malware über Spam-E-Mails

Berichten zufolge wird bei der Ausführung dieser ISO-Datei die eingebettete .hta-Datei aktiviert, wodurch ein Prozessbaum entsteht. Dieser umfasst nacheinander mshta.exe, cmd.exe, powershell.exe und RegAsm.exe-Prozesse.

Der mshta.exe-Prozess führt einen Powershell-Befehl aus. Der Befehl enthält Argumente, um eine Datenfolge vom Server im Base64-kodierten Stringtyp anzufordern (DownloadString). Dies lädt die CurrentDomain.Load-Daten, um eine Funktion aufzurufen. Es wird jedoch keine binäre PE-Datei erstellt, sondern die Binärdatei wird im Speicherbereich von Powershell ausgeführt.

Darüber hinaus führt das Powershell-Skript auch eine DLL-Datei aus, die aus einem Base64-String dekodiert wird. Diese DLL lädt die endgültige Binärdatei von einem C2-Server herunter und injiziert sie in das RegAsm.exe (Assembly Registration Tool). Diese endgültige Binärdatei könnte jede Malware wie Remcos, AgentTesla oder LimeRAT sein.

Ein vollständiger Bericht wurde von AhnLab veröffentlicht, der detaillierte Informationen über die Malware, die PE-Datei, die DLL-Datei und andere enthält.