Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Hacker lassen CoinMiner und Quasar RAT mit Hilfe des Emotet-Botnets fallen
1. November 2022. TuxCare PR Team
Hacker nutzen das Emotet-Botnet, um passwortgeschützte Archivdateien auszunutzen und CoinMiner und Quasar RAT auf anfällige Geräte zu schleusen. Bei einem der von den Sicherheitsforschern analysierten Beispiele wurde eine ZIP-Datei mit dem Thema Rechnung gefunden, die ein verschachteltes, selbstextrahierendes (SFX) Archiv enthält. Das erste Archiv diente als Kanal, um das zweite zu starten.
Der Angriff wurde von Sicherheitsforschern der Trustwave SpiderLabs aufgedeckt. Trustwave hat nach eigenen Angaben eine Zunahme von Bedrohungen festgestellt, die in passwortgeschützten ZIP-Dateien verpackt sind, und das Sicherheitsunternehmen behauptet, dass etwa 96 % dieser Bedrohungen über das Emotet-Botnet verbreitet wurden.
Die Forscher erklärten, dass die Malspam-Kampagne insofern einzigartig ist, als es nicht notwendig ist, das Ziel zu überzeugen, den Anhang zu öffnen. Stattdessen verwendet die Kampagne eine Batch-Datei, die automatisch das Kennwort zum Entsperren der Nutzlast bereitstellt.
Die selbstextrahierende (SFX) Archivdatei verwendet entweder ein PDF- oder ein Excel-Symbol, um den Anschein der Seriosität zu erwecken. In Wirklichkeit besteht die SFX-Datei aus drei Komponenten: der passwortgeschützten zweiten SFX-RAR-Datei, dem oben erwähnten Batch-Skript, das das Archiv startet, und einem PDF- oder Bild-Köder.
Sobald die Batch-Datei ausgeführt wurde, führt sie zur Installation der Malware, die in dem passwortgeschützten RARsfx [selbstextrahierendes RAR-Archiv] lauert. Zu diesem Zweck gibt das Batch-Skript das Kennwort des Archivs und den Zielordner an, in den die Nutzdaten entpackt werden sollen. Außerdem startet es einen Befehl zur Anzeige des Täuschungsdokuments, um die bösartige Aktivität zu verbergen.
Diese auch als Ein-Klick-Technik bekannte Technik umgeht die Passwortbarriere und ermöglicht böswilligen Akteuren eine Vielzahl von Aktionen, darunter Cryptojacking, Datenexfiltration und Ransomware.
"Das selbstextrahierende Archiv gibt es schon seit langem und es erleichtert die Verteilung von Dateien an Endbenutzer. Es stellt jedoch ein Sicherheitsrisiko dar, da der Inhalt der Dateien nicht leicht überprüfbar ist und Befehle und ausführbare Dateien unbemerkt ausgeführt werden können", so die Forscher.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
