Neue Phishing-Kampagne nutzt Bildschirmfoto zur Verbreitung von Malware

Die Forscher von Proofpoint Threat Research haben eine neue Phishing-Kampagne entdeckt, bei der Screenshots verwendet werden, um ahnungslosen Opfern Malware zu liefern.

Der Angreifer sendet eine E-Mail mit einem Screenshot im Anhang, der beim Öffnen ein Makro startet, das die Malware herunterlädt und ausführt. Da die E-Mails als legitime interne E-Mails von der IT-Abteilung des Unternehmens getarnt sind, scheinen die Angreifer es auf hochrangige Führungskräfte abgesehen zu haben.

Laut Proofpoint muss ein Benutzer auf einen bösartigen Link klicken und, wenn er erfolgreich gefiltert wurde, mit einer JavaScript-Datei interagieren, um zusätzliche Nutzdaten herunterzuladen und auszuführen, damit ein Angriff erfolgreich ist. "Unternehmen sollten Endanwender über diese Technik aufklären und sie ermutigen, verdächtige E-Mails und andere Aktivitäten zu melden", so die Forscher.

Die Phishing-E-Mails sind dringlicher Natur und fordern die Empfänger auf, ein angehängtes Dokument oder einen Bericht zu prüfen. In der E-Mail wird der Empfänger angewiesen, auf das Dokument zuzugreifen, indem er auf eine Schaltfläche oder einen Link klickt, woraufhin die Malware auf das Gerät des Empfängers heruntergeladen wird.

Bei der Malware dieser Kampagne handelt es sich um einen Remote-Access-Trojaner (RAT), der es dem Angreifer ermöglicht, sich Zugang zum Gerät des Opfers zu verschaffen und es zu kontrollieren. Tastatureingaben können aufgezeichnet, Screenshots erstellt und sensible Daten wie Passwörter, E-Mails und Finanzinformationen gestohlen werden.

Der Screenshotter ist ein einfaches Dienstprogramm, das einen JPG-Screenshot des Desktops des Benutzers erstellt und ihn per POST an eine fest kodierte IP-Adresse an einen entfernten C2 sendet. Dies hilft dem Angreifer bei der Erkundung und der Erstellung von Opferprofilen. Proofpoint entdeckte mehrere Screenshotter-Varianten, darunter Python-basierte, AutoIT-basierte und JavaScript/IrfanView-basierte Varianten. Alle führen die gleiche Funktion aus, und das Netzwerkprotokoll ist das gleiche.

Die Verwendung von Screenshots in dieser Kampagne ist eine neuartige Taktik, die es herkömmlichen E-Mail-Sicherheitslösungen erschwert, Phishing-E-Mails zu erkennen und zu blockieren. Die Angreifer können die Entdeckung leicht vermeiden, indem sie einen legitimen Screenshot des Zielunternehmens verwenden, was die Nachricht für den Empfänger glaubwürdiger erscheinen lässt.

Der Screenshotter-Code ist in einem MSI-Paket enthalten (SHA256: 02049ab62c530a25f145c0a5c48e3932fa7412a037036a96d7198cc57cef1f40). Das Paket enthält lumina.exe, eine unveränderte Kopie von IrfanView Version 4.62, und app.js, die erste Datei des MSI-Pakets. Es führt lumina.exe aus, das einen Screenshot des Desktops aufnimmt und als JPG speichert, sowie index.js, die zweite Datei, die vom MSI-Paket ausgeführt wird.

Zu den Quellen für diesen Beitrag gehört ein Artikel in SCMedia.

Sehen Sie sich diese Nachricht auf unserem Youtube-Kanal an: https://www.youtube.com/watch?v=gRtQZ3ljvrE

Zusammenfassung

Artikel Name

Neue Phishing-Kampagne nutzt Bildschirmfoto zur Verbreitung von Malware

Beschreibung

Forscher haben eine neue Phishing-Kampagne entdeckt, bei der Screenshots verwendet werden, um ahnungslosen Opfern Malware zukommen zu lassen.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers