Der Schadcode gelangt zuerst über einen schädlichen E-Mail-Dateianhang auf ein System. Ausgeführt hinterlässt er keine Spuren auf einem Massenspeicher. Die Tarnung über die Fehlerberichterstattung erlaubt es, Sicherheitsanwendungen auszutricksen.

Malwarebytes hat eine neue Hacking-Kampagne entdeckt, bei der eine dateilose Schadsoftware zum Einsatz kommt. Sie nutzt verschiedene Techniken, um einer Erkennung durch Sicherheitsanwendungen zu entgehen. Unter anderem schleust sie zu dem Zweck Code in die ausführbare Datei der Windows-Fehlerberichterstattung ein.

Erste Spuren der neuen Malware fanden die Forscher am 17. September bei der Analyse von Phishing-E-Mails mit einem schädlichen Dateianhang im ZIP-Format. Das darin enthaltene Dokument führt einem Bericht von Bleeping Computer zufolge über ein Makro Shellcode aus, der zum sogenannten CactusTorch-Framework gehört.

Dieser Code wiederum lägt ein direkt in den Arbeitsspeicher des nun infizierten Windows-Systems. Die Binärdatei wiederum startet den Forschern direkt aus dem Arbeitsspeicher heraus, ohne irgendwelche Spuren auf einem Massenspeicher zu hinterlassen, indem Shellcode in den Prozess er Windows-Fehlerberichterstattung eingeschleust wird.

Als weitere Vorsichtsmaßnahme prüft der schädliche Fehlerberichtserstattungsprozess, ob beispielsweise ein Debugger aktiv ist oder ob er in einer virtuellen Maschine läuft – Zeichen, die auf eine mögliche Untersuchung von Sicherheitsforschern hinweisen. Erst nachdem diese Kontrollen erfolgreich durchlaufen wurden, setzt die Schadsoftware ihren Angriff fort und entschlüsselt den finalen Schadcode, der in einem neuen Thread der Fehlerberichterstattung startet. Eine Analyse dieses finalen Schadcodes war Malwarebytes bisher nicht möglich, weil die Domain, die den Code hostet, derzeit nicht erreichbar ist.

Die Technik, Code in der Windows-Fehlerberichterstattung zu verstecken, ist dem Bericht zufolge nicht neu. Sie soll auch der Cerber-Ransomware sowie dem Remote Access Trojan NetWire helfen, einer Erkennung zu entgehen.

Wer hinter der neuen Kampagne steckt, konnten die Forscher ebenfalls nicht ermitteln. Einige Indikatoren sollen jedoch auf eine vom vietnamesischen Staat unterstützte Gruppe hinweisen, die als APT32 oder OceanLotus beziehungsweise SeaLotus bekannt ist. Diese Gruppe ging zuletzt unter anderem gegen ausländische Unternehmen vor, die in Vietnam investieren. Ihnen werden aber auch Einbrüche bei Medienfirmen und Menschenrechtsorganisationen weltweit zugesprochen.

Quelle: Hacker verstecken dateilose Malware mithilfe der Windows-Fehlerberichterstattung | ZDNet.de