Phishing-Kampagne
Neue Malware versteckt sich hinter Covid-19-Informationen
Foto: ozrimoz - shutterstock.com
Forscher des Sicherheitsunternehmens Proofpoint haben einen neuen Remote Access Trojaner (RAT) aufgespürt, der über mehrere Anti-Analyse- und Anti-Reversing-Fähigkeiten verfügt. Die Malware sei in der vom Betriebssystem unabhängigen Programmiersprache Go geschrieben, was sie zu einer plattformübergreifenden 64-Bit-Bedrohung mache, erklären die Security-Experten. Zusätzlich würden die Angreifer verschiedene Verschlüsselungsroutinen nutzen, um die eigentliche Payload zu verschleiern und Sicherheitsmaßnahmen zu umgehen.
So funktioniert die Nerbian-Malware
Die Schadsoftware verbreitet sich über gefälschte Mails, die vorgeben von der Weltgesundheitsorganisation (WHO) zu stammen und angeblich wichtige Informationen zur Sicherheit vor dem Coronavirus enthalten. Nach den Angaben der Security-Analysten haben die Angreifer ein Microsoft-Word-Dokument mit Makros angehängt, das teilweise als RAR-Archiv gepackt versendet wird. Neben der Tarnung als WHO scheint das Dokument auch Logos der Health Service Executive (HSE), der Regierung von Irland und des National Council for the Blind of Ireland (NCBI) zu enthalten.
Wenn die Makros vom Opfer aktiviert werden, löst das im Hintergrund eine Infektionskette aus. Dabei wird eine Payload namens "UpdateUAV.exe" heruntergeladen, um den Dropper für Nerbian RAT ("MoUsoCore. exe") von einem entfernten Server zu installieren. Das Schadprogramm ist mit einer Vielzahl an bösartigen Funktionen ausgestattet wie Keylogging und Bildschirmaufnahme. Zudem wird die Kommunikation mit dem C2-Server über SSL (Secure Sockets Layer) abgewickelt, um den gesamten Datenaustausch zu verschlüsseln und den Schadcode vor Netzwerk-Scan-Tools zu schützen.
Fazit
Nach eigenen Angaben haben die Proofpoint-Forscher bisher nur eine geringe Anzahl der Nerbian-RAT-Angriffe entdeckt, sodass die Malware derzeit noch keine massive Bedrohung darstellt. Die Experten warnen jedoch davor, dass die Entwickler den Dropper anpassen könnten, um künftig andere Payloads bereitzustellen. "Die Urheber von Malware investieren nach wie vor sehr viel kriminelle Energie, um die Möglichkeiten von Open-Source-Software für ihre Zwecke zu nutzen", kommentiert Sherrod DeGrippo, VP Threat Research and Detection bei Proofpoint.
Es scheint so, dass die Programmiersprache Go zunehmend von Cyberkriminelle bevorzugt wird. Vermutlich aufgrund ihrer einfachen Bedienung und Benutzerfreundlichkeit. Vor kurzem berichteten Forscher von Cado Labs von einer neuen Kryptomining-Malware, die auf Go basiert und scheinbar speziell für AWS Lambda-Umgebungen entwickelt wurde.