Die Sicherheitsforscher von SentinelLabs, der Research-Abteilung von SentinelOne, entdeckten bei der Untersuchung jüngster Malvertising-Angriffe eine weitere Gruppe virtualisierter Malware-Loader, die sich dem Trend angeschlossen haben. Die so genannten MalVirt-Loader sind in .NET implementiert und nutzen Virtualisierung, basierend auf dem KoiVM Virtualisierungsschutz von .NET-Anwendungen, um ihre Implementierung und Ausführung zu verschleiern.
Obwohl die KoiVM-Virtualisierung bei Hacking-Tools sehr beliebt ist, ist ihr Einsatz durch Cyberbedrohungsakteure als Verschleierungsmethode eine neue Entwicklung.
Technischer Hintergrund
Unter den Nutzdaten, die MalVirt-Loader verteilen, haben die Sicherheitsforscher Infostealer-Malware der Formbook-Familie als Teil einer laufenden Kampagne entdeckt. Die Verbreitung dieser Malware zeichnet sich durch eine ungewöhnliche Menge an angewandten Anti-Analyse- und Anti-Erkennungstechniken aus. Die derzeitige Häufung von Bedrohungsakteuren, die alternative Malware-Verbreitungsmethoden für Office-Makros nutzen, wie Malvertising, Windows-Verknüpfungen (LNK-Dateien) und ISO-Dateien, ist eine Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert. Malvertising ist eine Methode zur Verbreitung von Malware, die derzeit bei Bedrohungsakteuren sehr beliebt ist, was sich in den letzten Wochen durch eine deutliche Zunahme von manipulierter Suchmaschinenwerbung gezeigt hat.
Bei einer routinemäßigen Google-Suche nach „Blender 3D“ und der Untersuchung der Ergebnisse wurde erstmals ein MalVirt-Beispiel entdeckt. Die Loader geben hierbei vor, mit Signaturen und Gegensignaturen von großen Unternehmen wie Microsoft, Acer, DigiCert, Sectigo und AVG Technologies USA digital signiert zu sein. Diese Signaturen sind jedoch mit ungültigen Zertifikaten erstellt, oder es handelt sich um Zertifikate, denen das System nicht vertraut (d. h. die nicht im Zertifikatspeicher der Trusted Root Certification Authorities gespeichert sind). Das entsprechende Zertifikat scheint zum Beispiel von Microsoft zu sein, besteht aber die Signaturprüfung nicht. Um den echten C2-Verkehr (Command-and-Control-Infrastruktur) zu verschleiern und Netzwerkerkennungen zu umgehen, sendet die Malware Signale an zufällige Täuschungs-C2-Server, die bei verschiedenen Hosting-Anbietern wie Azure, Tucows, Choopa und Namecheap gehostet werden.
Malvertising – Einsatz und Verbreitung
Diese Form der Malware wird im Dark Web verkauft und üblicherweise als Anhang von Phishing-E-Mails versendet. Während sie in der Regel von Bedrohungsakteuren mit cyberkriminellen Motiven eingesetzt wird, wurde ihre Verwendung in jüngster Zeit auch als Teil von Angriffen mit möglicherweise politischen Motiven beobachtet – im September 2022 berichtete das ukrainische CERT über eine Formbook/XLoader-Kampagne, die über Phishing-E-Mails mit Kriegsthematik auf ukrainische staatliche Organisationen abzielte. Im Falle eines komplizierten Loaders könnte dies darauf hindeuten, dass versucht wird, cyberkriminelle Verbreitungsmethoden zu übernehmen, um nach der ersten Validierung gezieltere Malware der zweiten Stufe auf bestimmte Opfer zu laden. Eine genaue Betrachtung der MalVirt-Loader und die anschließend von ihnen verbreitete Infostealer-Malware, verdeutlicht den enormen Aufwand, den die Bedrohungsakteure betrieben haben, um der Erkennung zu entgehen und die Analyse zu vereiteln.
Fazit
Als Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert, verwenden die Bedrohungsakteure nun alternative Methoden zur Verbreitung von Malware – zuletzt immer häufiger Malvertising. Bei der Malware der Formbook-Familie handelt es sich um einen äußerst leistungsfähigen Infostealer, der von den MalVirt-Loadern zur Verhinderung von Analysen und Erkennung eingesetzt wird. Da die Bedrohungsakteure durch das Malvertising ein riesiges Publikum erreichen können, ist davon auszugehen, dass diese Methode der Malware-Verbreitung in Zukunft noch weiter zunehmen wird.
Weitere Informationen über diese Untersuchung von SentinelLabs finden Sie hier.
www.sentinelone.com