Hackergruppe DarkHydrus verbreitet Trojaner per Google Drive

  • TIPP

  • mad.de
  • 408 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Hackergruppe DarkHydrus verbreitet Trojaner per Google Drive

    Eine neue Kampagne richtet sich gegen politische Ziele im Mittleren Osten. Der Trojaner wird über eine gefährliche Excel-Tabelle verteilt. Sie enthält ein VBA-Macro, das den eigentlichen Schadcode ausführt.

    Die Hackergruppe DarkHydrus, die von Kaspersky Lab auch als Lazy Meerkat bezeichnet wird, geht derzeit offenbar gegen politische Ziele im Mittleren Osten vor. Das hat eine Analyse von Forschern von 360 Threat Intelligence ergeben. Demnach läuft die neue Kampagne, bei der auch Googles Cloud-Speicher Drive zum Einsatz kommt, mindestens seit Anfang Januar.
    Am 9. Januar entdeckten die Forscher eine gefährliche Excel-Tabelle. Das in Arabisch verfasste Dokument enthielt ein VBA-Macro, das beim Öffnen der Datei ausgeeführt wird. Es legt eine Textdatei in einem temporären Verzeichnis ab und nutzt das Windows-TERegistry-Tool regsvr32.exe, um die Textdatei zu verarbeiten. Dadurch wird wiederum ein PowerShell-Skript erzeugt, das Base64-Inhalt entpackt um eine Datei namens OfficeUpdateService.exe zu starten. Dabei handelt es sich um eine in C# geschriebene Backdoor.

    Bei der Backdoor handelt es sich um eine Variante des Trojaners RogueRobin. Er legt Einträge in der Registrierungsdatenbank an, um sich dauerhaft einzunisten. Zudem nutzt er verschiedene Techniken, um einer Entfernung zu entgehen. Unter anderem kann er virtuelle Maschinen und Sandboxes erkennen. Zudem fanden die Forscher speziellen Anti-Debug-Code.
    Forscher von Palo Alto Networks, die sich ebenfalls mit der neuen Variante von RogueRobin beschäftigt haben, fanden heraus, dass es der Trojaner auf Systemdaten wie Hostnamen abgesehen hat, die an einen Befehlsserver im Internet geschickt werden. Dafür wird ein DNS-Tunnel benötigt. Steht dieser nicht zur Verfügung, kommt Google Drive als alternative Lösung zur Speicherung von Dateien zum Einsatz.

    Die Hacker sind mindestens seit 2017 mit mehreren Kampagnen aufgefallen, um Anmeldedaten zu stehlen. Meistens kommen dabei Spear-Phishing-E-Mails zum Einsatz, die Nutzer dazu verleiten sollen, ihre Daten in gefälschte Formulare einzugeben, von wo aus sie auf von den Hackern kontrollierten Servern landen. Die schädlichen Dokumente sollen die Hacker unter anderem mithilfe von Open-Source-Phishing-Tools erstellen.

    Quelle: Hackergruppe DarkHydrus verbreitet Trojaner per Google Drive | ZDNet.de