Forscher warnen vor Spam-Kampagne, die auf Opfer mit SVCReady-Malware abzielt

  • Es wurde eine neue Welle von Phishing-Kampagnen beobachtet, die eine bereits dokumentierte Malware namens SVCReady verbreiten.

    „Die Malware zeichnet sich durch die ungewöhnliche Art und Weise aus, wie sie auf die Ziel-PCs übertragen wird – mit Hilfe von Shellcode, der in den Eigenschaften von Microsoft Office-Dokumenten versteckt ist“, so Patrick Schläpfer, Threat Analyst bei HP, in einem technischen Bericht.

    SVCReady soll sich in einem frühen Entwicklungsstadium befinden, wobei die Autoren die Malware im letzten Monat mehrmals aktualisiert haben. Die ersten Anzeichen von Aktivitäten gehen auf den 22. April 2022 zurück.

    Die Infektionskette umfasst das Versenden von Microsoft-Word-Dokumentanhängen per E-Mail an Ziele, die VBA-Makros enthalten, um die Bereitstellung bösartiger Nutzdaten zu aktivieren.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEilX32lo0OCGWeSbJv95Zf70lCkWkfzb8dPvmvy_wrP0Hgnh5d9gGbYi-6ImIAbGCkRGTtITjAeKJPkl0I7q0IXug69RN8IWVNGPEktj-IX9lxDZFzTBQ6hnLwc6ybXsKFOWnlipte1yPfbNnP1U6oSKedXQMXzkrBbymZdpvhtfp_hq1d4LaZVE1yGjg/s1600/GitHub-ads.png]

    Das Besondere an dieser Kampagne ist jedoch, dass das Makro nicht PowerShell oder MSHTA einsetzt, um ausführbare Dateien der nächsten Stufe von einem Remote-Server abzurufen, sondern Shellcode ausführt, der in den Dokumenteigenschaften gespeichert ist und anschließend die SVCReady-Malware ablegt.

    Zusätzlich zur Persistenz auf dem infizierten Host mittels einer geplanten Aufgabe verfügt die Malware über die Fähigkeit, Systeminformationen zu sammeln, Screenshots zu erfassen, Shell-Befehle auszuführen sowie beliebige Dateien herunterzuladen und auszuführen.

    In einem Fall am 26. April wurde RedLine Stealer als Folge-Nutzlast bereitgestellt, nachdem ein Rechner zunächst mit SVCReady infiziert worden war.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    HP hat nach eigenen Angaben Überschneidungen zwischen den Dateinamen der Köderdokumente und den Bildern in den Dateien festgestellt, die zur Verbreitung von SVCReady verwendet wurden, und denen, die von einer anderen Gruppe namens TA551 (auch bekannt als Hive0106 oder Shathak) eingesetzt werden. Es ist jedoch nicht sofort klar, ob derselbe Bedrohungsakteur hinter der jüngsten Kampagne steckt.

    „Es ist möglich, dass wir Artefakte sehen, die von zwei verschiedenen Angreifern stammen, die die gleichen Tools verwenden“, so Schläpfer. „Unsere Ergebnisse zeigen jedoch, dass die Akteure, die hinter den TA551- und SVCReady-Kampagnen stehen, ähnliche Vorlagen und möglicherweise Dokumentersteller verwenden.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com