Hacker stürzen sich auf neuen Doc-Builder, der Macro-Exploit verwendet und sich als DocuSign ausgibt

Cyber Security News

Eine Version von EtterSilent verwendet einen Makro-basierten Exploit und ist so gestaltet, dass sie wie DocuSign aussieht, das beliebte Softwareprogramm, das es Einzelpersonen oder Unternehmen ermöglicht, Dokumente elektronisch zu unterschreiben. (“File:DocuSignHeadquarters.jpg” von Coolcaesar ist lizenziert unter CC BY-SA 4.0)

Forscher von Intel471 haben einen neuen bösartigen Document Builder identifiziert, der sich in weniger als einem Jahr von einem neuen, relativ unbekannten Exploit zu einem Bestandteil der Angriffsketten führender cyberkrimineller Gruppen entwickelt hat.

Der Builder mit dem Namen EtterSilent wird in zwei Varianten angeboten: Eine Version nutzt eine alte Schwachstelle in Microsoft Office aus, die die Ausführung von Remotecode ermöglicht, und eine andere Version verwendet einen Makro-basierten Exploit und ist so konzipiert, dass er wie DocuSign aussieht, ein beliebtes Softwareprogramm, mit dem Privatpersonen oder Unternehmen Dokumente elektronisch unterschreiben können.

Forscher von Intel471 beobachteten erstmals im Juni 2020, dass der Builder in russischen Online-Cybercrime-Foren beworben wurde. Ab Januar 2021 und im Laufe des Jahres sah das Unternehmen, dass es in Trickbot- und BazarLoader-Kampagnen sowie in Banking-Trojanern wie BokBok, Gozi ISFB und QBot verwendet wurde.

Brandon Hoffman, Chief Information Security Officer bei Intel471, sagte gegenüber SC Media, dass der Weg von EtterSilent von einem neuen Produkt bis hin zu seiner Einbindung in den Hacking-Mainstream bezeichnend für die Art und Weise ist, wie cyberkriminelle Gruppen sich gerne Zeit nehmen, um ein neues Tool zu testen, um die richtigen technischen Feinheiten und den richtigen Preis zu finden, bevor sie in größerem Umfang eingesetzt werden. Seitdem EtterSilent auf den Markt gekommen ist, wurde es ständig aktualisiert, um eine Entdeckung zu vermeiden.

“Wie bei all diesen Cybercrime-Dienstleistern dauert es eine Weile, bis die Leute es ausprobieren, sie testen es, sehen, dass es funktioniert, manchmal nehmen Sie Anpassungen vor, und dann, je nachdem, wie es preislich ist und wie es funktioniert und wie gut es von der Verteidigungstechnologie erkannt wird, beginnt es an Popularität zu gewinnen, wenn die Beobachtungen niedrig sind und der Preis stimmt”, sagte Hoffman.

Die Makro-Version von EtterSilent ist die populärere der beiden Möglichkeiten, und Hoffman sagte, dass zwei Faktoren cyberkriminelle Gruppen zu dieser Version treiben könnten. Erstens: Mit einem anfänglichen Preis von etwa 9 US-Dollar ist es ein überraschend günstiges Angebot für ein einzigartiges Build eines Makro-basierten Exploits. Der zweite Grund ist, dass die Malware-Autoren ungewöhnlich viel Zeit darauf verwendet haben, ausgefeilte Verschleierungstechniken einzubauen.

“Wenn man es mit Dingen wie VirusTotal abgleicht, gibt es nicht viele Beobachtungen, weil die Verschleierungstaktik so gut implementiert ist und sie anscheinend mit regelmäßigen Updates aufrechterhalten wird”, so Hoffman. “Wenn Sie den Preis mit der Verschleierungstaktik kombinieren, ist die Wahrscheinlichkeit größer, dass sie einen erfolgreichen ersten Angriffsvektor haben.”

Die Verwendung in Trickbot- und BazarLoader-Kampagnen bringt EtterSilent an das vordere Ende der Angriffsketten für zwei der weltweit beliebtesten Ransomware-Vorläufer. Hoffman sagte, dass Intel471 keine Endpunkt-Erkennungstechnologien einsetzt und nicht bestätigen kann, dass EtterSilent in laufenden Ransomware-Angriffen verwendet wird, aber er merkte an, dass es leicht in die bekannten Angriffsketten vieler Ransomware-Gruppen eingefügt werden könnte.

“Wir haben Angriffe gesehen, bei denen Ryuk [ransomware] und Bazar in Verbindung gebracht wurden, und jetzt wird Bazar mit EtterSilent in Verbindung gebracht, also ist es eine starke Hypothese, dass, wenn es noch nicht geschehen ist, jemand diesen Weg einschlagen wird”, sagte Hoffman.

Zusätzliche technische Informationen zu EtterSilent, einschließlich Indikatoren für eine Kompromittierung, können auf der Website von Intel471 gefunden werden.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com