Anfang April haben die Forscher:innen von Avira einen ungewöhnlichen Anstieg der Malware-Familie XWorm RAT, einem Remote Access Trojaner (RAT) verzeichnet, der sich über zahlreiche Rechner streut und eine verdächtige Kill Chain aufweist.
XWorm RAT wird über Spam-E-Mails verbreitet, die vor allem Fachleute ködern sollen. Dabei geben die Kriminellen vor, sie seien an der Buchung ihrer Dienste für ein neues Projekt interessiert. In der E-Mail heißt es:
„Ich bin an einem Angebot von Ihnen interessiert, wir suchen professionelle Kräfte für unser neues Projekt.”
Er wird mit einem infizierten Anhang geliefert, der verschiedene bösartige Payloads an verschiedene Stellen auf kompromittierten Systemen liefern kann und eine breite Palette von Operationen startet: So kann er Ransomware ausführen, die Webcam und die Tastatur des Opfers überwachen, Passwörter zu stehlen, das Remote-Desktop-Protokoll (RDP) zu verwenden, um aus der Ferne auf den infizierten Computer zuzugreifen, eine Denial-of-Service-Attacke (DDoS) zu starten und das Bargeld von Kryptowährungsnutzern zu stehlen, indem er die Wallet-Adresse ändert, während die Transaktion verarbeitet wird.
Die Malware nutzt einige der effektivsten Techniken von der anfänglichen Verbreitung bis zur endgültigen Auslieferung der Nutzlast. Die verschiedenen Ebenen der Malware sind sehr ausgefeilt, von der Verschleierung bis zur Deaktivierung der Sicherheitstools, um eine Erkennung durch die Sicherheitsanbieter zu verhindern. Da die neuen Versionen der Malware im Darknet bzw. auf „Dark Marketplaces“ verfügbar sind, bedeutet dies, dass sie immer noch aktiv entwickelt werden. Die Malware verfügt über zahlreiche Funktionen und ist in der Lage, Tools zu liefern, die leichter zugänglich und benutzbar sind und keinen Alarm auslösen, wie z. B. Virtual Network Computing (VNC). Solche Tools ermöglichen einen weitreichenden Zugang zu infizierten Systemen und die Durchführung von Operationen nach ihren Möglichkeiten. Die geknackte Version im offenen Web macht es aufgrund der hohen Verfügbarkeit auch für Akteure mit geringen Grundlagenkenntnissen noch gefährlicher.
www.avira.com