Hacker nutzen Microsoft Build Engine, um Malware dateilos auszuliefern

Cyber Security News

Bedrohungsakteure missbrauchen die Microsoft Build Engine (MSBuild), um Remote-Access-Trojaner und Malware zum Stehlen von Passwörtern dateilos auf gezielte Windows-Systeme zu übertragen.

Die aktiv laufende Kampagne soll im letzten Monat aufgetaucht sein, sagten Forscher der Cybersecurity-Firma Anomali am Donnerstag und fügten hinzu, dass die bösartigen Build-Dateien mit verschlüsselten ausführbaren Dateien und Shellcode eingebettet waren, die Hintertüren bereitstellen, die es den Angreifern ermöglichen, die Kontrolle über die Rechner der Opfer zu übernehmen und sensible Informationen zu stehlen.

MSBuild ist ein Open-Source-Build-Tool für .NET und Visual Studio, das von Microsoft entwickelt wurde und das Kompilieren von Quellcode, Verpacken, Testen und Bereitstellen von Anwendungen ermöglicht.

[Blocked Image: https://thehackernews.com/images/-J2_tCNGDMKA/YHc_zdc4MhI/AAAAAAAA3wo/gfFnHKGV_gcrTkZ3sOMoDg5N-wg_cKOGQCLcBGAsYHQ/s300-e100/thn-300-4.png]

Bei der Verwendung von MSBuild zur dateilosen Kompromittierung eines Rechners besteht die Idee darin, unter dem Radar zu bleiben und die Entdeckung zu vereiteln, da solche Malware eine legitime Anwendung verwendet, um den Angriffscode in den Speicher zu laden, und so keine Spuren der Infektion auf dem System hinterlässt und den Angreifern ein hohes Maß an Stealth bietet.

[Blocked Image: https://thehackernews.com/images/-4QFnSSzUd_M/YJ6a9cxaGII/AAAAAAAACis/VJ48xGA2h9c_PyVs3Y-WYqTLUDjDHUsgACLcBGAsYHQ/s0/ms-malware.jpg]

Zum jetzigen Zeitpunkt stufen nur zwei Sicherheitsanbieter eine der MSBuild-.proj-Dateien (“vwnfmo.lnk”) als bösartig ein, während ein zweites Beispiel (“72214c84e2.proj”), das am 18. April auf VirusTotal hochgeladen wurde, von keiner Anti-Malware-Engine erkannt wird. Die meisten der von Anomali analysierten Samples lieferten den Remcos RAT, einige andere auch den Quasar RAT und RedLine Stealer.

Remcos (auch bekannt als Remote Control and Surveillance Software) gewährt dem Angreifer nach der Installation vollen Zugriff, wobei die Funktionen von der Erfassung von Tastatureingaben über die Ausführung beliebiger Befehle bis hin zur Aufzeichnung von Mikrofonen und Webcams reichen, während Quasar ein Open-Source-RAT auf .NET-Basis ist, das unter anderem Keylogging und Passwortdiebstahl ermöglicht. Redline Stealer ist, wie der Name schon sagt, eine Commodity-Malware, die Anmeldeinformationen von Browsern, VPNs und Messaging-Clients abgreift und darüber hinaus Passwörter und Wallets von Kryptowährungs-Apps stiehlt.

“Die Bedrohungsakteure, die hinter dieser Kampagne stehen, nutzten die dateilose Bereitstellung als Möglichkeit, Sicherheitsmaßnahmen zu umgehen, und diese Technik wird von Akteuren für eine Vielzahl von Zielen und Motivationen verwendet”, so die Anomali-Forscher Tara Gould und Gage Mele. “Diese Kampagne verdeutlicht, dass das Vertrauen in Antiviren-Software allein für die Cyber-Abwehr nicht ausreicht und dass die Verwendung von legitimem Code, um Malware vor Antiviren-Technologie zu verstecken, effektiv ist und exponentiell wächst.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com