Neuer Angriff nutzt Windows-Verknüpfungsdateien zur Installation der REMCOS-Hintertür

Das Lat61 Threat Intelligence-Team des Sicherheitsunternehmens Point Wild hat eine neue, irreführende mehrstufige Malware-Kampagne identifiziert. Der Angriff nutzt eine raffinierte Technik, bei der bösartige Windows-Shortcut-Dateien (LNK-Dateien) – einfache Zeiger auf ein Programm oder eine Datei – genutzt werden, um einen gefährlichen Remote-Access-Trojaner (RAT) namens REMCOS einzuschleusen.

Die von Dr. Zulfikar Ramzan, dem CTO von Point Wild, geleitete und mit Hackread.com geteilte Untersuchung ergab, dass die Kampagne mit einer scheinbar harmlosen Verknüpfungsdatei beginnt, die möglicherweise an eine E-Mail angehängt ist und einen Dateinamen wie „ ORDINE-DI-ACQUIST-7263535 “ trägt.

Wenn ein Benutzer darauf klickt, führt die LNK-Datei im Hintergrund diskret einen PowerShell-Befehl aus. Zu Ihrer Information: PowerShell ist ein leistungsstarkes Befehlszeilentool, das Windows zur Aufgabenautomatisierung verwendet. Bei diesem Angriff wird es jedoch zum Herunterladen/Dekodieren einer versteckten Nutzlast verwendet.

Dieser Befehl dient zum Herunterladen und Dekodieren einer versteckten Nutzlast, ohne Sicherheitswarnungen auszulösen, Dateien zu speichern oder Makros zu verwenden. Die Untersuchung liefert spezifische Datei-Hashes für diese LNK-Datei, einschließlich MD5: ae8066bd5a66ce22f6a91bd935d4eee6 , um die Erkennung zu erleichtern.

Diese Kampagne ist durch verschiedene Tarnebenen auf Tarnung ausgelegt. Nach Ausführung des ersten PowerShell-Befehls wird eine Base64-kodierte Nutzlast von einem Remote-Server abgerufen. Dies ist eine gängige Methode, um Schadcode zu verbergen, da Base64 eine Standardmethode zur Kodierung binärer Daten in Text ist.

Sobald die Nutzlast heruntergeladen und dekodiert ist, wird sie als Programminformationsdatei ( .PIF Datei) gestartet. Dabei handelt es sich um eine ausführbare Datei, die häufig für ältere Programme verwendet wird. Die Angreifer tarnten diese Datei als CHROME.PIF und imitierten damit ein legitimes Programm.

Dieser letzte Schritt installiert die REMCOS-Hintertür und gibt Angreifern die volle Kontrolle über das kompromittierte System. Die Schadsoftware sichert außerdem ihre Persistenz auf dem System, indem sie eine Protokolldatei für die Aufzeichnung ihrer Tastatureingaben in einem neuen Remcos-Ordner im Verzeichnis %ProgramData% erstellt.

Nach der Installation gewährt die REMCOS-Backdoor den Angreifern umfassende Kontrolle über den Computer des Opfers. Der Threat Intelligence Report weist darauf hin, dass die Hintertür eine Vielzahl bösartiger Aktivitäten ausführen kann, darunter Keylogging zum Diebstahl von Passwörtern, die Erstellung einer Remote-Shell für den direkten Zugriff und den Zugriff auf Dateien.

Darüber hinaus ermöglicht die REMCOS-Hintertür den Angreifern, die Webcam und das Mikrofon des Computers zu steuern und so den Benutzer auszuspionieren. Die Untersuchung ergab außerdem, dass die Command-and-Control-Infrastruktur (C2) für diese spezielle Kampagne in Rumänien und den USA gehostet wird.

Dieses Ergebnis unterstreicht die Notwendigkeit zur Vorsicht, da diese Angriffe von überall auf der Welt ausgehen können. Die Forscher empfehlen Nutzern, bei Verknüpfungsdateien aus nicht vertrauenswürdigen Quellen vorsichtig zu sein, Anhänge vor dem Öffnen doppelt zu prüfen und aktuelle Antivirensoftware mit Echtzeitschutz zu verwenden.