Categories: Cloud

Remote Access Trojaner über gefälschte Webseite der BW-Landesregierung

Das Threat Intelligence Team von Malwarebytes hat eine neue Kampagne entdeckt, die deutsche Privatpersonen mit Updates zur aktuellen Bedrohungslage in der Ukraine lockt. Sie will Besucher der gefälschten Website dazu verführen, ein infiziertes Dokument herunterzuladen. Bei diesem handelt es sich um einen Köder für einen Remote Access Trojaner (RAT), der Daten stehlen und noch weitere bösartige Aktionen auf dem Computer des Opfers ausführen kann.

Die Vorgehensweise der Bedrohungsakteure, die hinter der Kampagne stecken, sah folgendermaßen aus: Sie registrierten einen abgelaufenen deutschen Domainnamen unter collaboration-bw[.]de, der ursprünglich als offizielle Kollaborationsplattform zur Entwicklung neuer Ideen, Initiativen und Innovationen für das Bundesland Baden-Württemberg genutzt wurde.

Die Bedrohungsakteure nutzten die Domain, um eine Webseite zu hosten, die wie die offizielle Webseite der Landesregierung Baden-Württemberg (baden-wuerttemberg.de) aussieht. Mit dieser Nachahmung haben die Angreifer den perfekten Platzhalter für ihren Köder geschaffen: Ein Dokument mit Informationen zur aktuellen Lage in der Ukraine, das sie ihren Opfern über einen auffälligen blauen Button zum Download anbieten.

Sobald die Opfer diese Datei öffnen, erhalten sie eine gefälschte Fehlermeldung. Währenddessen führt PowerShell unbemerkt einen Base64-Befehl aus. Nach der Entschlüsselung des Codes konnte das Threat Intelligence Team von Malwarebytes feststellen, dass der Befehl dazu dient, ein Skript auszuführen, dass von der gefälschten baden-württembergischen Webseite heruntergeladen wurde und Invoke-Expression (IEX) verwendet.

Das heruntergeladene Skript erstellt im aktuellen Benutzerverzeichnis schließlich einen Ordner namens „SecuriyHealthService“ und legt dort zwei Dateien ab: MonitorHealth.cmd und ein Skript namens Status.txt. Die cmd-Datei ist sehr einfach programmiert und führt lediglich Status.txt über PowerShell aus. Das heruntergeladene Skript lässt zudem MonitorHealth.cmd dauerhaft bestehen, indem es eine geplante Aufgabe erstellt, um die Datei jeden Tag zu einer bestimmten Uhrzeit auszuführen.

Roger Homrich

Recent Posts

Hohe Burnout-Rate bei Cybersicherheitsexperten

Wachsende Bedrohung durch Angriffe in Kombination mit Qualifikationsdefiziten frustriert Sicherheitsteams.

2 Tagen ago

Von “Hack-for-Hire”-Gruppen genutzte Domains gesperrt

Threat Analysis Group (TAG) von Google sperrt bösartige Domains und Websites, die Hack-for-Hire-Gruppen für Angriffe…

2 Tagen ago

Big-Data-Analysen im Mittelstand

KMU fehlt es an Know-how, Zeit und den richtigen Technologien, um das Potenzial ihrer Daten…

2 Tagen ago

Podcast Silicon DE im Fokus: Gefahr für Produktionsanlagen

Wie sieht aktuell die Gefährdungslage für Operational Technology (OT) aus? Carolina Heyder im Gespräch mit…

3 Tagen ago

Microsoft: Linux-Malware installiert Cryptomining-Software

Als Einfallstor dient eine bekannte Schwachstelle in Software von Atlassian. Alternativ nehmen die Cyberkriminellen auch…

3 Tagen ago

Mit Low-Code Prozesse rund um Personaldaten optimieren

TraveNetz betreibt SAP HCM onPremise und hat noch keine Cloud-Produkte im Einsatz. Daher war die…

3 Tagen ago