Phishing-Kampagne

Neue Malware versteckt sich hinter Covid-19-Informationen

IT-Sicherheitsforscher haben eine neue Malware-Kampagne aufgedeckt, die raffinierte Ausweichtechniken nutzt. Die Verbreitung findet über Phishing-Mails statt, die angeblich wichtige Informationen zu Covid-19 enthalten.
Von 
CSO | 12. Mai 2022 15:55 Uhr
Sicherheitsforscher haben eine neue Malware entdeckt, die in gefakten Covid-19-Informationen versteckt ist.
Sicherheitsforscher haben eine neue Malware entdeckt, die in gefakten Covid-19-Informationen versteckt ist.
Foto: ozrimoz - shutterstock.com

Forscher des Sicherheitsunternehmens Proofpoint haben einen neuen Remote Access Trojaner (RAT) aufgespürt, der über mehrere Anti-Analyse- und Anti-Reversing-Fähigkeiten verfügt. Die Malware sei in der vom Betriebssystem unabhängigen Programmiersprache Go geschrieben, was sie zu einer plattformübergreifenden 64-Bit-Bedrohung mache, erklären die Security-Experten. Zusätzlich würden die Angreifer verschiedene Verschlüsselungsroutinen nutzen, um die eigentliche Payload zu verschleiern und Sicherheitsmaßnahmen zu umgehen.

So funktioniert die Nerbian-Malware

Die Schadsoftware verbreitet sich über gefälschte Mails, die vorgeben von der Weltgesundheitsorganisation (WHO) zu stammen und angeblich wichtige Informationen zur Sicherheit vor dem Coronavirus enthalten. Nach den Angaben der Security-Analysten haben die Angreifer ein Microsoft-Word-Dokument mit Makros angehängt, das teilweise als RAR-Archiv gepackt versendet wird. Neben der Tarnung als WHO scheint das Dokument auch Logos der Health Service Executive (HSE), der Regierung von Irland und des National Council for the Blind of Ireland (NCBI) zu enthalten.

Wenn die Makros vom Opfer aktiviert werden, löst das im Hintergrund eine Infektionskette aus. Dabei wird eine Payload namens "UpdateUAV.exe" heruntergeladen, um den Dropper für Nerbian RAT ("MoUsoCore. exe") von einem entfernten Server zu installieren. Das Schadprogramm ist mit einer Vielzahl an bösartigen Funktionen ausgestattet wie Keylogging und Bildschirmaufnahme. Zudem wird die Kommunikation mit dem C2-Server über SSL (Secure Sockets Layer) abgewickelt, um den gesamten Datenaustausch zu verschlüsseln und den Schadcode vor Netzwerk-Scan-Tools zu schützen.

Fazit

Nach eigenen Angaben haben die Proofpoint-Forscher bisher nur eine geringe Anzahl der Nerbian-RAT-Angriffe entdeckt, sodass die Malware derzeit noch keine massive Bedrohung darstellt. Die Experten warnen jedoch davor, dass die Entwickler den Dropper anpassen könnten, um künftig andere Payloads bereitzustellen. "Die Urheber von Malware investieren nach wie vor sehr viel kriminelle Energie, um die Möglichkeiten von Open-Source-Software für ihre Zwecke zu nutzen", kommentiert Sherrod DeGrippo, VP Threat Research and Detection bei Proofpoint.

Es scheint so, dass die Programmiersprache Go zunehmend von Cyberkriminelle bevorzugt wird. Vermutlich aufgrund ihrer einfachen Bedienung und Benutzerfreundlichkeit. Vor kurzem berichteten Forscher von Cado Labs von einer neuen Kryptomining-Malware, die auf Go basiert und scheinbar speziell für AWS Lambda-Umgebungen entwickelt wurde.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.