Experten decken Malware-Angriffe auf Unternehmensnetzwerke in Lateinamerika auf

  • Cybersecurity-Forscher haben am Donnerstag eine neue, laufende Spionagekampagne aufgedeckt, die auf Unternehmensnetzwerke in spanischsprachigen Ländern, insbesondere Venezuela, abzielt, um ihre Opfer auszuspionieren.

    Die primären Ziele des Bedrohungsakteurs sind Unternehmensnetzwerke in dem südamerikanischen Land, die sich über die Bereiche Fertigung, Bauwesen, Gesundheitswesen, Software-Services und Einzelhandel erstrecken und von ESET als “Bandidos” bezeichnet werden, da eine verbesserte Variante der Bandook-Malware verwendet wird.

    Bandook wurde in Delphi und C++ geschrieben und wird seit 2005 als kommerzieller Remote Access Trojaner (RAT) verkauft. Seitdem sind zahlreiche Varianten in der Bedrohungslandschaft aufgetaucht und wurden in den Jahren 2015 und 2017 in verschiedenen Überwachungskampagnen eingesetzt, die angeblich von einer Cyber-Söldnergruppe namens Dark Caracal im Auftrag von Regierungsinteressen in Kasachstan und im Libanon durchgeführt wurden.

    [Blocked Image: https://thehackernews.com/images/-Gh8_xBK-wA0/YMt1oNE4WUI/AAAAAAAA4Qw/I2QexYtbSv8qi2N3tu2MxT1hshRe7YwwwCLcBGAsYHQ/s728-e100/free-ad-8-728.png]

    Im Zuge des anhaltenden Wiederauflebens des Bandook-Trojaners hat Check Point im vergangenen Jahr drei neue Samples veröffentlicht – eines davon unterstützte 120 Befehle -, die von demselben Angreifer genutzt wurden, um Regierungs-, Finanz-, Energie-, Lebensmittel-, Gesundheits-, Bildungs-, IT- und Rechtseinrichtungen in Chile, Zypern, Deutschland, Indonesien, Italien, Singapur, der Schweiz, der Türkei und den USA anzugreifen.

    Die jüngste Angriffskette beginnt damit, dass potenzielle Opfer bösartige E-Mails mit einem PDF-Anhang erhalten, der eine verkürzte URL zum Herunterladen eines komprimierten Archivs enthält, das auf Google Cloud, SpiderOak oder pCloud gehostet wird, sowie das Passwort zum Extrahieren des Archivs. Das Extrahieren des Archivs offenbart einen Malware-Dropper, der Bandook entschlüsselt und in einen Internet Explorer-Prozess injiziert.

    [Blocked Image: https://thehackernews.com/images/-0R7da0zckO4/YObK3wsGd6I/AAAAAAAADIU/u4MF1bNwEvEUB17EF0r6YZ-gCQfapB5VACLcBGAsYHQ/s0/chrome.jpg]

    Interessanterweise enthält die neueste Variante von Bandook, die von ESET analysiert wurde, 132 Befehle im Vergleich zu den 120 Befehlen, die von Check Point gemeldet wurden, was darauf hindeutet, dass die kriminelle Gruppe, die hinter der Malware steckt, ihre bösartigen Tools mit verbesserten Fähigkeiten und Schlagkraft weiterentwickelt.

    “Besonders interessant ist die ChromeInject-Funktionalität”, so ESET-Forscher Fernando Tavella. “Wenn die Kommunikation mit dem Command-and-Control-Server des Angreifers hergestellt ist, lädt die Nutzlast eine DLL-Datei herunter, die eine exportierte Methode hat, die eine bösartige Chrome-Erweiterung erstellt. Die bösartige Erweiterung versucht, alle Anmeldeinformationen abzurufen, die das Opfer an eine URL sendet. Diese Anmeldeinformationen werden im lokalen Speicher von Chrome gespeichert.”

    [Blocked Image: https://thehackernews.com/images/-QpWUO_ODObE/YLy9ODqjOgI/AAAAAAAA4BU/EiQ-B1MZTpMSF3ICQ5utVTrmnYrAXONgQCLcBGAsYHQ/s300-e100/ransomware_300.jpg]

    Zu den wichtigsten Befehlen, die die Payload verarbeiten kann, gehören das Auflisten von Verzeichnisinhalten, das Manipulieren von Dateien, das Erstellen von Screenshots, das Steuern des Cursors auf dem Rechner des Opfers, das Installieren bösartiger DLLs, das Beenden laufender Prozesse, das Herunterladen von Dateien von einer bestimmten URL, das Exfiltrieren der Ergebnisse der Operationen auf einen Remote-Server und sogar das Deinstallieren von sich selbst auf den infizierten Rechnern.

    Wenn überhaupt, dann ist diese Entwicklung ein weiteres Zeichen dafür, dass Angreifer immer noch alte Crimeware-Lösungen nutzen können, um Angriffe zu erleichtern.

    “[Bandook’s] Beteiligung an verschiedenen Spionageaktionen […] zeigt uns, dass sie immer noch ein relevantes Werkzeug für Cyberkriminelle ist”, so die Forscher. “Wenn wir außerdem die Modifikationen betrachten, die im Laufe der Jahre an der Malware vorgenommen wurden, zeigt uns das das Interesse der Cyberkriminellen, diese Malware weiterhin in bösartigen Kampagnen zu verwenden, wodurch sie immer raffinierter und schwieriger zu erkennen ist.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com