Das Threat Research Team von HP Wolf Security veröffentlicht umfassende Erkenntnisse zu einer neuen Malware-Familie namens SVCReady. Die Malware ermöglicht es Angreifern, Systeminformationen auf infizierten Geräten zu sammeln und zu extrahieren, darunter unter anderem die Geräte-Firmware und installierte Software.
Ziel der Angreifer ist es, sich langfristig auf kompromittierten Rechnern einzunisten.
Die Malware wurde über eine Phishing-Kampagne verbreitet, die im Anhang eines Microsoft Word-Dokuments versandt wurde. Angreifer waren so in der Lage, Kontrolle über PCs zu übernehmen sowie Shell-Befehle auszuführen, beliebige Dateien herunterzuladen und auszuführen. Beispielsweise wurde SVCReady bereits in Verbindung mit RedLineStealer-Malware eingesetzt – diese Schadsoftware wurde als Folge-Nutzlast auf einen Rechner gespielt, der am 26. April mit SVCReady infiziert wurde.
Das HP Team entdeckte SVCReady erstmals Ende April, als die Malware zusammen mit RedLineStealer verbreitet wurde. Seitdem wurde die Malware mehrmals aktualisiert und in einer zunehmenden Anzahl von Malware-Kampagnen eingesetzt. Interessanterweise wird SVCReady mit Shellcode ausgeliefert, der in den Eigenschaften von Microsoft Office-Dokumenten gespeichert ist – anstelle von PowerShell oder MSHTA, die üblicherweise für die Verbreitung von Malware über Office-Dateien verwendet werden.
„Ein paar Dinge in der Malware sind defekt“, erklärt Patrick Schläpfer, Malware Analyst bei HP Wolf Security. „SVCReady befindet sich eindeutig in der Entwicklung und böswillige Akteure haben in den vergangenen Wochen das Netzwerkkommunikationsformat verschlüsselt. Da die Malware weiter verfeinert wird, besteht die Möglichkeit, dass sie in Zukunft zu einem größeren Problem wird. Wir haben einige Ähnlichkeiten in den Dateinamenskonventionen und Köderbildern festgestellt, die mit denen der finanziell motivierten Bedrohungsgruppe TA551 verbunden zu sein scheinen.“
Weitere Informationen:
Der Report gibt zudem Aufschluss zu neuen Kampagnen, die SVCReady verwenden sowie zu den Merkmalen der Malware und wie diese sich in den letzten sechs Wochen verändert und weiterentwickelt hat. Der vollständige Bericht ist auf dem HP Wolf Security Threat Blog verfügbar.
www.hp.com