MalVirt-Loader verwenden verschleierte Virtualisierung

Gehackt durch Werbung: Malvertising-Kampagne mit visualisierten Malware-Loadern

Malware, Malvertising, Malware-Loader

Die Sicherheitsforscher von SentinelLabs, der Research-Abteilung von SentinelOne, entdeckten bei der Untersuchung jüngster Malvertising-Angriffe eine weitere Gruppe virtualisierter Malware-Loader, die sich dem Trend angeschlossen haben. Die so genannten MalVirt-Loader sind in .NET implementiert und nutzen Virtualisierung, basierend auf dem KoiVM Virtualisierungsschutz von .NET-Anwendungen, um ihre Implementierung und Ausführung zu verschleiern.

Obwohl die KoiVM-Virtualisierung bei Hacking-Tools sehr beliebt ist, ist ihr Einsatz durch Cyberbedrohungsakteure als Verschleierungsmethode eine neue Entwicklung.

Anzeige

Technischer Hintergrund

Unter den Nutzdaten, die MalVirt-Loader verteilen, haben die Sicherheitsforscher Infostealer-Malware der Formbook-Familie als Teil einer laufenden Kampagne entdeckt. Die Verbreitung dieser Malware zeichnet sich durch eine ungewöhnliche Menge an angewandten Anti-Analyse- und Anti-Erkennungstechniken aus. Die derzeitige Häufung von Bedrohungsakteuren, die alternative Malware-Verbreitungsmethoden für Office-Makros nutzen, wie Malvertising, Windows-Verknüpfungen (LNK-Dateien) und ISO-Dateien, ist eine Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert. Malvertising ist eine Methode zur Verbreitung von Malware, die derzeit bei Bedrohungsakteuren sehr beliebt ist, was sich in den letzten Wochen durch eine deutliche Zunahme von manipulierter Suchmaschinenwerbung gezeigt hat.

Bei einer routinemäßigen Google-Suche nach „Blender 3D” und der Untersuchung der Ergebnisse wurde erstmals ein MalVirt-Beispiel entdeckt. Die Loader geben hierbei vor, mit Signaturen und Gegensignaturen von großen Unternehmen wie Microsoft, Acer, DigiCert, Sectigo und AVG Technologies USA digital signiert zu sein. Diese Signaturen sind jedoch mit ungültigen Zertifikaten erstellt, oder es handelt sich um Zertifikate, denen das System nicht vertraut (d. h. die nicht im Zertifikatspeicher der Trusted Root Certification Authorities gespeichert sind). Das entsprechende Zertifikat scheint zum Beispiel von Microsoft zu sein, besteht aber die Signaturprüfung nicht. Um den echten C2-Verkehr (Command-and-Control-Infrastruktur) zu verschleiern und Netzwerkerkennungen zu umgehen, sendet die Malware Signale an zufällige Täuschungs-C2-Server, die bei verschiedenen Hosting-Anbietern wie Azure, Tucows, Choopa und Namecheap gehostet werden.

Malvertising – Einsatz und Verbreitung

Diese Form der Malware wird im Dark Web verkauft und üblicherweise als Anhang von Phishing-E-Mails versendet. Während sie in der Regel von Bedrohungsakteuren mit cyberkriminellen Motiven eingesetzt wird, wurde ihre Verwendung in jüngster Zeit auch als Teil von Angriffen mit möglicherweise politischen Motiven beobachtet – im September 2022 berichtete das ukrainische CERT über eine Formbook/XLoader-Kampagne, die über Phishing-E-Mails mit Kriegsthematik auf ukrainische staatliche Organisationen abzielte. Im Falle eines komplizierten Loaders könnte dies darauf hindeuten, dass versucht wird, cyberkriminelle Verbreitungsmethoden zu übernehmen, um nach der ersten Validierung gezieltere Malware der zweiten Stufe auf bestimmte Opfer zu laden. Eine genaue Betrachtung der MalVirt-Loader und die anschließend von ihnen verbreitete Infostealer-Malware, verdeutlicht den enormen Aufwand, den die Bedrohungsakteure betrieben haben, um der Erkennung zu entgehen und die Analyse zu vereiteln.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit

Als Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert, verwenden die Bedrohungsakteure nun alternative Methoden zur Verbreitung von Malware – zuletzt immer häufiger Malvertising. Bei der Malware der Formbook-Familie handelt es sich um einen äußerst leistungsfähigen Infostealer, der von den MalVirt-Loadern zur Verhinderung von Analysen und Erkennung eingesetzt wird. Da die Bedrohungsakteure durch das Malvertising ein riesiges Publikum erreichen können, ist davon auszugehen, dass diese Methode der Malware-Verbreitung in Zukunft noch weiter zunehmen wird.

Weitere Informationen über diese Untersuchung von SentinelLabs finden Sie hier.

www.sentinelone.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.