NanoCore RAT huscht mit .ZIPX-Taktik an E-Mail-Abwehrsystemen vorbei

Cyber Security News

Eine Spam-Kampagne versteckt eine bösartige ausführbare Datei hinter Dateierweiterungen.

Eine Flut bösartiger E-Mails mit Anhängen, die den NanoCore-Remote-Access-Trojaner (RAT) enthalten, umgeht Anti-Malware- und E-Mail-Scanner, indem sie das ZIPX-Dateiformat missbraucht.

Die Forscher von Trustwave haben herausgefunden, dass die Kampagne eine bösartige ausführbare Datei versteckt, indem sie ihr die Dateierweiterung .ZIPX gibt, die angibt, dass ein .ZIP-Archivformat mit dem WinZip-Archiver komprimiert wurde. In Wirklichkeit handelt es sich bei der angehängten Datei um eine Icon-Bilddatei, die in ein .RAR-Paket verpackt ist. .RAR ist ein proprietäres Archivdateiformat, das Datenkomprimierung, Fehlerbehebung und Dateispannungen unterstützt.

“Die E-Mails, die vorgeben, vom Einkaufsleiter bestimmter Organisationen zu stammen, die die Cyberkriminellen fälschen, sehen wie üblich aus [malicious spam emails] bis auf den Anhang”, heißt es in einem Trustwave-Blog, der am Donnerstag veröffentlicht wurde. “Die Anhänge, die das Dateiformat ‘NEW PURCHASE ORDER.pdf*.zipx’ haben, sind in Wirklichkeit Image (Icon) Binärdateien mit angehängten Extradaten, die zufällig .RAR sind.”

Der Rechner des Opfers muss über ein Entpackungsprogramm verfügen, das die ausführbare Datei im Anhang extrahieren kann. Das Einschließen der ausführbaren Datei in ein .RAR-Archiv anstelle einer .ZIP-Datei macht dies wahrscheinlicher; es bedeutet, dass die Datei von dem beliebten Archivierungstool 7Zip sowie von WinRAR extrahiert werden kann, so Trustwave. 7Zip erkennt die .ZIPX-Dateien als Rar5-Archive und kann somit deren Inhalt entpacken.

WinZip hingegen unterstützt das Entpacken der Datei nicht.

“Die NanoCore-Malware könnte auf dem System installiert werden, wenn der Benutzer sich entscheidet, sie auszuführen und zu entpacken”, erklärten die Forscher. “Das Ganze funktioniert, weil verschiedene Archivierungsprogramme ihr Bestes geben, um etwas zum Entpacken in Dateien zu finden. Man könnte sogar behaupten, dass sie sich zu viel Mühe geben.”

Bei der Malware handelt es sich genauer gesagt um NanoCore Version 1.2.2.0. Wenn sie ausgeführt wird, erstellt sie Kopien von sich selbst im AppData-Ordner und injiziert ihren bösartigen Code in den RegSvcs.exe-Prozess, so die Analyse. Von dort aus macht er sich daran, Daten vom Rechner des Opfers zu stehlen, darunter Daten aus der Zwischenablage, Tastatureingaben, Dokumente und Dateien. NanoCore ist außerdem ein modularer Trojaner, der modifiziert werden kann, um zusätzliche Plugins einzubinden und so seine Funktionalität und Leistung je nach den Bedürfnissen des Benutzers zu erweitern.

Frühere Kampagnen, darunter eine im Jahr 2019, die die Lokibot-Malware lieferte, haben die .ZIPX-Taktik genutzt, so die Forscher.

“Die kürzlich gemeldete Phishing-Kampagne, die den NanoCore-Trojaner verbreitet, ist eine Variation eines alten Themas”, sagte Saryu Nayyar, CEO bei Gurucul, per E-Mail. “Sie basiert auf Social Engineering mit einem plausiblen Aufhänger, um das Ziel zu überreden, eine infizierte Datei zu öffnen. In diesem Fall versuchen die Angreifer, Dateiformate und Namenskonventionen zu verwenden, um zu verhindern, dass die Anti-Malware-Software des Ziels den Trojaner erkennt. Er ist jedoch immer noch darauf angewiesen, dass der Benutzer auf die List hereinfällt.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com