Remote Access Trojaner auf dem Vormarsch

Neue Gefahren durch RAT Malware

| Redakteur: Peter Schmitz

Remote Access Trojaner (RAT) sind durch den kriminellen Erfolg von Ransomware in Vergessenheit geraten, finden aber wieder zunehmend Verwendung.
Remote Access Trojaner (RAT) sind durch den kriminellen Erfolg von Ransomware in Vergessenheit geraten, finden aber wieder zunehmend Verwendung. (Bild: Pixabay / CC0)

Cyberkriminelle setzen zunehmend wieder auf Remote Access Trojaner (RAT) als Angriffswerkzeug in ihren Phishing-Kampagnen. Die Security-Forscher von Zscaler und Palo Alto Networks haben ein neues RAT-Netzwerk mit Hintertür und eine neue Angriffswelle mit RAT-Payload enttarnt.

Die Forschergruppe Unit 42 von Palo Alto Networks, warnt davor, dass gefälschte PopUps mit der Schriftart Hoefler Text, die zum Download angeboten wird, weiterhin auf Nutzer von Google Chrome zielen und nun eine neue Malware, ein RAT (Remote Access Tool), verbreiten. Die Angreifer, die hinter der EITest-Kampagne stecken, setzen ein Social-Engineering-System ein, mit dem sie in den letzten Monaten Ransomware wie Spora und Mole an Opfer verteilten. Diese Kampagne verbreitet seit Ende August nun eine andere Art von Malware. Aktuelle Samples infizieren Windows-Hosts mit dem NetSupport Manager RAT. Dies ist bedeutsam, weil es auf eine potenzielle Verschiebung der Motive der Angreifer hindeutet.

Bereits im Dezember 2016 begann die EITest-Kampagne, mittels HoeflerText-Popups Malware zu verbreiten. Seit Ende Januar 2017 war nur Ransomware, die aus diesen Popups stammte, zu beobachten. Diese Aktivität setzte gelegentlich für einige Wochen aus. Im Juli 2017 lieferten die HoeflerText-Popups bis Monatsende zuletzt Mole-Ransomware unter dem Deckmantel des Dateinamens Font_Chrome.exe aus. Ende August sind diese Popups erneut in Erscheinung getreten, aber mit einer anderen Art von Malware, die sich hinter Font_Chrome.exe verbarg. So enthielten die aktuellen Samples nicht mehr Ransomware, sondern File Downloader.

Der Netzwerkverkehr folgt zwei verschiedenen Pfaden: Opfer, die Microsoft Internet Explorer als Web-Browser verwenden, erhalten eine falsche Anti-Virus-Warnung mit einer Telefonnummer für einen Tech-Support-Betrug. Opfer mit Google Chrome als Browser erhalten ein gefälschtes HoeflerText-Popup, in dem die Malware als Font_Chrome.exe verkleidet ist. Aktuelle Samples von Font_Chrome.exe sind File Downloader. Sie rufen eine Follow-up-Malware ab, die daraufhin ein NetSupport Manager RAT (Remote Access Tool) installiert. NetSupport Manager ist ein kommerziell verfügbares RAT, das zuvor mit einer Malware-Kampagne von gehackten Steam-Konten im vergangenen Jahr in Zusammenhang stand. Von den HoeflerText Popups vom August dieses Jahres haben die Forscher von Unit 42 zwei File Downloader- und zwei entsprechende Follow-up-Malware-Samples gefunden.

Benutzer sollten sich dieser Bedrohung bewusst sein und auf verdächtige Popup-Nachrichten („The "HoeflerText" font wasn't found“) in Google Chrome achten. Da dies ein RAT ist, werden infizierte Benutzer wahrscheinlich keine Veränderung an ihrem Computer wahrnehmen. Wenn das NetSupport Manager RAT auf ihrem Windows-Host gefunden wird, handelt es sich wahrscheinlich um eine Malware-Infektion. Derzeit ist nicht bekannt, warum die Akteure hinter den EITest-HoeflerText-Popups von Ransomware zu einem RAT übergegangen sind. Ransomware ist immer noch eine ernsthafte Bedrohung und nach wie vor die größte Kategorie von Malware, die Unit 42 bei Massenverteilungskampagnen täglich beobachtet. Allerdings haben die Forscher in den letzten Kampagnen auch eine zunehmende Anzahl anderer Malware bemerkt, vor allem im Vergleich zum Vorjahr. RATs geben Angreifern mehr Fähigkeiten auf einem Host und sind in der Regel viel flexibler als Malware, die für einen einzigen Zweck konzipiert wurde. Der Wechsel bei den EITest-HoeflerText-Popups stellt eine leichte Verschiebung dar, die andeutet, dass Ransomware nun etwas weniger prominent ist, als sie es einmal war.

Cobian RAT-Baukasten mit Hintertüre

Das ThreatLabZ Research Team von Zscaler beobachtet seit Februar dieses Jahres eine neue Remote-Access-Trojaner (RAT)-Familie mit dem Namen Cobian. Dieser Trojaner-Baukasten wird in Untergrundforen kostenlos zur schnellen Verbreitung angeboten und weist viele Ähnlichkeiten zu njRAT/H-Würmern auf. Allerdings hat Cobian RAT eine Besonderheit integriert: Das Builder-Kit besitzt ein Backdoor-Modul, das Informationen des Command-&-Control-Servers von einer vorgegebenen URL (Pastebin) abruft, die vom ursprünglichen Autor kontrolliert wird.

Durch diese eingebaute Hintertür erhält der Autor die volle Kontrolle über die infizierten Systeme über alle Cobian RAT Botnets hinweg, in denen das Backdoor Builder-Kit verwendet wird. Der Autor kann ebenfalls die Informationen der jeweiligen Command-&-Control-Server ändern. Der Autor nutzt also im Wesentlichen ein Crowdsourcing-Modell für den Aufbau eines Mega-Botnets, indem er auf die Botnets derjenigen Anwender zugreift, die seinen kostenlos angebotenen Trojaner einsetzen. Auf diese Weise täuscht der Autor Cyber-Kriminelle, die ihrerseits Malware mit diesem Kit verbreiten und kritische Daten von den Opfern stehlen. Ein Sicherheitsmechanismus soll verhindern, dass die Vorgehensweise des Malware-Autors aufgedeckt wird.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44874151 / Malware)