Warnung – Es gibt eine neue Malware, die Passwörter von Benutzern abfängt

Cyber Security News

Ein bisher nicht dokumentierter Malware-Downloader wurde in der freien Wildbahn in Phishing-Attacken entdeckt, um Credential Stealer und andere bösartige Payloads zu verteilen.

Die Malware mit dem Namen “Saint Bot” soll erstmals im Januar 2021 aufgetaucht sein, und es gibt Hinweise darauf, dass sie noch aktiv weiterentwickelt wird.

“Saint Bot” ist ein Downloader, der erst kürzlich aufgetaucht ist und langsam an Fahrt gewinnt. Es wurde gesehen, wie er Stealer (z. B. Taurus Stealer) oder weitere Loader (Beispiel) herunterlädt, doch sein Design erlaubt [it] ihn für die Verbreitung jeglicher Art von Malware zu nutzen”, so Aleksandra “Hasherezade” Doniec, Threat Intelligence Analyst bei Malwarebytes.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

“Außerdem verwendet Saint Bot eine Vielzahl von Techniken, die zwar nicht neu sind, aber in Anbetracht seines relativ neuen Erscheinungsbildes auf ein gewisses Maß an Raffinesse hindeuten.”

Die von der Cybersecurity-Firma analysierte Infektionskette beginnt mit einer Phishing-E-Mail, die eine eingebettete ZIP-Datei (“bitcoin.zip”) enthält, die vorgibt, eine Bitcoin-Wallet zu sein, während es sich in Wirklichkeit um ein PowerShell-Skript unter dem Deckmantel einer .LNK-Verknüpfungsdatei handelt. Dieses PowerShell-Skript lädt dann die nächste Malware-Stufe herunter, eine ausführbare Datei “WindowsUpdate.exe”, die wiederum eine zweite ausführbare Datei (InstallUtil.exe) herunterlädt, die sich um das Herunterladen von zwei weiteren ausführbaren Dateien namens “def.exe” und “putty.exe” kümmert.

[Blocked Image: https://thehackernews.com/images/-uIAVQPFuDVE/YHBFY-Ya4HI/AAAAAAAACOs/g6UIR9fcwk8aO8g52pmyo9i31-_UkywRgCLcBGAsYHQ/s0/malware-attack.jpg]

Während erstere ein Batch-Skript ist, das für die Deaktivierung von Windows Defender verantwortlich ist, enthält putty.exe die bösartige Nutzlast, die schließlich eine Verbindung zu einem Command-and-Control (C2)-Server herstellt, um diesen weiter auszunutzen.

Die Verschleierung, die in jeder Phase der Infektion vorhanden ist, in Verbindung mit den Anti-Analyse-Techniken, die von der Malware eingesetzt werden, ermöglicht es den Malware-Betreibern, die Geräte, auf denen sie installiert wurden, auszunutzen, ohne Aufmerksamkeit zu erregen.

Neben der Durchführung von “Selbstverteidigungsprüfungen”, um das Vorhandensein eines Debuggers oder einer virtuellen Umgebung zu überprüfen, ist Saint Bot so konzipiert, dass er in Rumänien und ausgewählten Ländern der Gemeinschaft Unabhängiger Staaten (GUS), zu denen Armenien, Weißrussland, Kasachstan, Moldawien, Russland und die Ukraine gehören, nicht ausgeführt wird.

Die Liste der von der Malware unterstützten Befehle umfasst. Herunterladen und Ausführen von anderen Nutzdaten, die vom C2-Server abgerufen werden das Aktualisieren der Bot-Malware, und deinstalliert sich selbst von dem kompromittierten Rechner

Diese Fähigkeiten mögen zwar sehr gering erscheinen, aber die Tatsache, dass Saint Bot als Downloader für andere Malware dient, macht ihn gefährlich genug.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Interessanterweise werden die Payloads selbst aus Dateien geholt, die auf Discord gehostet werden – eine Taktik, die unter Bedrohungsakteuren immer häufiger anzutreffen ist. Sie missbrauchen legitime Funktionen solcher Plattformen für C2-Kommunikation, um Sicherheit zu umgehen und Malware auszuliefern.

“Wenn Dateien hochgeladen und im Discord-CDN gespeichert werden, können sie über die hartkodierte CDN-URL von jedem System abgerufen werden, unabhängig davon, ob Discord installiert ist, indem einfach die CDN-URL aufgerufen wird, unter der die Inhalte gehostet werden”, so die Forscher von Cisco Talos in einer Analyse Anfang dieser Woche, wodurch Software wie Discord und Slack zu lukrativen Zielen für das Hosting bösartiger Inhalte werden.

“Saint Bot ist ein weiterer kleiner Downloader”, sagte Hasherezade. “”[It is] nicht so ausgereift wie SmokeLoader, aber er ist recht neu und wird derzeit aktiv entwickelt. Der Autor scheint einige Kenntnisse über das Design von Malware zu haben, was an der breiten Palette der verwendeten Techniken erkennbar ist. Dennoch sind alle eingesetzten Techniken bekannt und ziemlich standardmäßig, [and] und lassen nicht viel Kreativität erkennen.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com