ClickCease Neue Phishing-Kampagne nutzt Bildschirmfoto zur Verbreitung von Malware

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Neue Phishing-Kampagne nutzt Bildschirmfoto zur Verbreitung von Malware

Februar 21, 2023 - TuxCare PR Team

Die Forscher von Proofpoint Threat Research haben eine neue Phishing-Kampagne entdeckt, bei der Screenshots verwendet werden, um ahnungslosen Opfern Malware zu liefern.

Der Angreifer sendet eine E-Mail mit einem Screenshot im Anhang, der beim Öffnen ein Makro startet, das die Malware herunterlädt und ausführt. Da die E-Mails als legitime interne E-Mails von der IT-Abteilung des Unternehmens getarnt sind, scheinen die Angreifer es auf hochrangige Führungskräfte abgesehen zu haben.

Laut Proofpoint muss ein Benutzer auf einen bösartigen Link klicken und, wenn er erfolgreich gefiltert wurde, mit einer JavaScript-Datei interagieren, um zusätzliche Nutzdaten herunterzuladen und auszuführen, damit ein Angriff erfolgreich ist. "Unternehmen sollten Endanwender über diese Technik aufklären und sie ermutigen, verdächtige E-Mails und andere Aktivitäten zu melden", so die Forscher.

Die Phishing-E-Mails sind dringlicher Natur und fordern die Empfänger auf, ein angehängtes Dokument oder einen Bericht zu prüfen. In der E-Mail wird der Empfänger angewiesen, auf das Dokument zuzugreifen, indem er auf eine Schaltfläche oder einen Link klickt, woraufhin die Malware auf das Gerät des Empfängers heruntergeladen wird.

Bei der Malware dieser Kampagne handelt es sich um einen Remote-Access-Trojaner (RAT), der es dem Angreifer ermöglicht, sich Zugang zum Gerät des Opfers zu verschaffen und es zu kontrollieren. Tastatureingaben können aufgezeichnet, Screenshots erstellt und sensible Daten wie Passwörter, E-Mails und Finanzinformationen gestohlen werden.

Der Screenshotter ist ein einfaches Dienstprogramm, das einen JPG-Screenshot des Desktops des Benutzers erstellt und ihn per POST an eine fest kodierte IP-Adresse an einen entfernten C2 sendet. Dies hilft dem Angreifer bei der Erkundung und der Erstellung von Opferprofilen. Proofpoint entdeckte mehrere Screenshotter-Varianten, darunter Python-basierte, AutoIT-basierte und JavaScript/IrfanView-basierte Varianten. Alle führen die gleiche Funktion aus, und das Netzwerkprotokoll ist das gleiche.

Die Verwendung von Screenshots in dieser Kampagne ist eine neuartige Taktik, die es herkömmlichen E-Mail-Sicherheitslösungen erschwert, Phishing-E-Mails zu erkennen und zu blockieren. Die Angreifer können die Entdeckung leicht vermeiden, indem sie einen legitimen Screenshot des Zielunternehmens verwenden, was die Nachricht für den Empfänger glaubwürdiger erscheinen lässt.

Der Screenshotter-Code ist in einem MSI-Paket enthalten (SHA256: 02049ab62c530a25f145c0a5c48e3932fa7412a037036a96d7198cc57cef1f40). Das Paket enthält lumina.exe, eine unveränderte Kopie von IrfanView Version 4.62, und app.js, die erste Datei des MSI-Pakets. Es führt lumina.exe aus, das einen Screenshot des Desktops aufnimmt und als JPG speichert, sowie index.js, die zweite Datei, die vom MSI-Paket ausgeführt wird.

Zu den Quellen für diesen Beitrag gehört ein Artikel in SCMedia.

Sehen Sie sich diese Nachricht auf unserem Youtube-Kanal an: https://www.youtube.com/watch?v=gRtQZ3ljvrE

Zusammenfassung
Neue Phishing-Kampagne nutzt Bildschirmfoto zur Verbreitung von Malware
Artikel Name
Neue Phishing-Kampagne nutzt Bildschirmfoto zur Verbreitung von Malware
Beschreibung
Forscher haben eine neue Phishing-Kampagne entdeckt, bei der Screenshots verwendet werden, um ahnungslosen Opfern Malware zukommen zu lassen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter