Discord-CDN-Link missbraucht, um als OneDrive-Datei getarnte RAT zu übermitteln

Bei einer neuen Bedrohung, die das Cybersicherheitsunternehmen Sublime Security entdeckt hat und die auf der E-Mail-Plattform Microsoft 365 beobachtet wurde, verwenden Hacker eine clevere Malware-Kampagne, um Benutzer mit gefälschten OneDrive -E-Mails auszutricksen.

Bei der Untersuchung, die Hackread.com zur Verfügung gestellt wurde, stellte das Unternehmen fest, dass bei diesem ausgeklügelten Angriff zwei separate Fernsteuerungsprogramme auf dem Computer des Opfers installiert werden, was es sehr schwierig macht, ihn zu stoppen.

Das KI-gestützte System von Sublime Security erkannte den Angriff anhand mehrerer subtiler Hinweise. Dazu gehörten die E-Mail, die angeblich eine Datei freigab, aber an eine unbekannte Empfängerliste gesendet wurde, die irreführende Dateierweiterung (angeblich .docx , aber tatsächlich .msi ) und die Nutzung der kostenlosen Filehosting-Site.

Die Forscher fanden heraus, dass der Angriff mit einer bösartigen E-Mail beginnt, die von einem zuvor kompromittierten Konto gesendet wird. Die Nachricht sieht aus wie eine Dateifreigabebenachrichtigung von Microsoft OneDrive, komplett mit einer vertrauten Datenschutzfußzeile und einem Word-Dokumentsymbol .

Bösartige E-Mail (Quelle: Sublime Security)

Der Link in der E-Mail verspricht den Download einer Dokumentdatei, führt aber tatsächlich zu einer gefährlichen Installationsdatei, die auf einem kostenlosen Dienst, dem Discord CDN, gehostet wird. Klickt ein Nutzer auf den Link, installiert der Angreifer die Software RMM (Remote Monitoring and Management). Dabei handelt es sich um legitime Tools, die von IT-Experten zur Fernreparatur von Computern verwendet werden. Cyberkriminelle können sie jedoch nutzen, um die vollständige Kontrolle über einen Rechner zu übernehmen.

Die RMM-Software funktioniert durch die Installation eines kleinen Programms, eines sogenannten Agenten, auf dem Zielcomputer, der die Verbindung für den Fernzugriff herstellt. Nach der Installation kann ein RMM zum Datendiebstahl, zur Sperrung des Computers und zur Erpressung von Lösegeld oder für andere Angriffe verwendet werden. Diese Kampagne ist besonders knifflig, da sie Atera in einem sichtbaren Prozess installiert, während zwei Installationen im Hintergrund laufen, darunter Splashtop Streamer und .Net Runtime 8.

Atera Agent-Installationsnachricht (Quelle: Sublime Security)

Beide werden aus legitimen Quellen heruntergeladen und erscheinen daher als harmloser Webverkehr. Dieser duale Ansatz ist ein wichtiger Teil des Schemas und stellt sicher, dass der Angreifer „die Fernsteuerung behält, selbst wenn ein RMM entdeckt wird“, heißt es im Blogbeitrag .

Diese Kampagne verdeutlicht die wachsende Bedrohung durch mehrstufige Angriffe, die durch Täuschung die dauerhafte Kontrolle über den Computer eines Opfers erlangen. Seien Sie daher bei unerwarteten E-Mails stets vorsichtig, auch von vertrauenswürdigen Quellen wie OneDrive. Überprüfen Sie außerdem vor dem Öffnen heruntergeladener Dateien sorgfältig deren Typ und Namen. Wenn der Dateityp nicht korrekt erscheint, z. B. eine MSI-Datei statt einer .docx , führen Sie die Datei nicht aus.