
MalVirt-Loader verwenden verschleierte Virtualisierung, um Analysen zu verhindern und zu umgehen, und nutzen den Windows Process Explorer-Treiber zum Beenden von Prozessen
Die Sicherheitsforscher von SentinelLabs, der Research-Abteilung von SentinelOne, entdeckten bei der Untersuchung jüngster Malvertising-Angriffe eine weitere Gruppe virtualisierter Malware-Loader, die sich dem Trend angeschlossen haben. Die so genannten MalVirt-Loader sind in .NET implementiert und nutzen Virtualisierung, basierend auf dem KoiVM Virtualisierungsschutz von .NET-Anwendungen, um ihre Implementierung und Ausführung zu verschleiern. Obwohl die KoiVM-Virtualisierung bei Hacking-Tools sehr beliebt ist, ist ihr Einsatz durch Cyberbedrohungsakteure als Verschleierungsmethode eine neue Entwicklung.
Technischer Hintergrund
Unter den Nutzdaten, die MalVirt-Loader verteilen, haben die Sicherheitsforscher Infostealer-Malware der Formbook-Familie als Teil einer laufenden Kampagne entdeckt. Die Verbreitung dieser Malware zeichnet sich durch eine ungewöhnliche Menge an angewandten Anti-Analyse- und Anti-Erkennungstechniken aus. Die derzeitige Häufung von Bedrohungsakteuren, die alternative Malware-Verbreitungsmethoden für Office-Makros nutzen, wie Malvertising, Windows-Verknüpfungen (LNK-Dateien) und ISO-Dateien, ist eine Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert. Malvertising ist eine Methode zur Verbreitung von Malware, die derzeit bei Bedrohungsakteuren sehr beliebt ist, was sich in den letzten Wochen durch eine deutliche Zunahme von manipulierter Suchmaschinenwerbung gezeigt hat.
Bei einer routinemäßigen Google-Suche nach „Blender 3D“ und der Untersuchung der Ergebnisse wurde erstmals ein MalVirt-Beispiel entdeckt. Die Loader geben hierbei vor, mit Signaturen und Gegensignaturen von großen Unternehmen wie Microsoft, Acer, DigiCert, Sectigo und AVG Technologies USA digital signiert zu sein. Diese Signaturen sind jedoch mit ungültigen Zertifikaten erstellt, oder es handelt sich um Zertifikate, denen das System nicht vertraut (d. h. die nicht im Zertifikatspeicher der Trusted Root Certification Authorities gespeichert sind). Das entsprechende Zertifikat scheint zum Beispiel von Microsoft zu sein, besteht aber die Signaturprüfung nicht. Um den echten C2-Verkehr (Command-and-Control-Infrastruktur) zu verschleiern und Netzwerkerkennungen zu umgehen, sendet die Malware Signale an zufällige Täuschungs-C2-Server, die bei verschiedenen Hosting-Anbietern wie Azure, Tucows, Choopa und Namecheap gehostet werden.
Malvertising – Einsatz und Verbreitung
Diese Form der Malware wird im Dark Web verkauft und üblicherweise als Anhang von Phishing-E-Mails versendet. Während sie in der Regel von Bedrohungsakteuren mit cyberkriminellen Motiven eingesetzt wird, wurde ihre Verwendung in jüngster Zeit auch als Teil von Angriffen mit möglicherweise politischen Motiven beobachtet – im September 2022 berichtete das ukrainische CERT über eine Formbook/XLoader-Kampagne, die über Phishing-E-Mails mit Kriegsthematik auf ukrainische staatliche Organisationen abzielte. Im Falle eines komplizierten Loaders könnte dies darauf hindeuten, dass versucht wird, cyberkriminelle Verbreitungsmethoden zu übernehmen, um nach der ersten Validierung gezieltere Malware der zweiten Stufe auf bestimmte Opfer zu laden. Eine genaue Betrachtung der MalVirt-Loader und die anschließend von ihnen verbreitete Infostealer-Malware, verdeutlicht den enormen Aufwand, den die Bedrohungsakteure betrieben haben, um der Erkennung zu entgehen und die Analyse zu vereiteln.
Fazit
Als Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert, verwenden die Bedrohungsakteure nun alternative Methoden zur Verbreitung von Malware – zuletzt immer häufiger Malvertising. Bei der Malware der Formbook-Familie handelt es sich um einen äußerst leistungsfähigen Infostealer, der von den MalVirt-Loadern zur Verhinderung von Analysen und Erkennung eingesetzt wird. Da die Bedrohungsakteure durch das Malvertising ein riesiges Publikum erreichen können, ist davon auszugehen, dass diese Methode der Malware-Verbreitung in Zukunft noch weiter zunehmen wird.
Weitere Informationen über diese Untersuchung von SentinelLabs finden Sie hier: https://www.sentinelone.com/labs/malvirt-net-virtualization-thrives-in-malvertising-attacks/
Fachartikel

400.000 DMARC-Boost nach Microsofts Update für Absender mit hohem Volumen

Ausgewogenes Verhältnis zwischen Notfallwiederherstellung, Backup-Systemen und Sicherheit

Über 100 schädliche Chrome-Erweiterungen entdeckt – getarnt als KI-Tools, VPNs und Krypto-Helfer

Unit 42 warnt: Autonome KI revolutioniert Tempo und Taktik von Cyberangriffen

Cybersicherheit in der Energiebranche: Mehr als die Hälfte der führenden Öl- und Gasunternehmen von Datenpannen betroffen
Studien

Unternehmen blockieren zunehmend GenAI-Tools – DNSFilter-Studie zeigt wachsende Sicherheitsbedenken

Weltweite Investitionen in Quantencomputing nehmen branchenübergreifend zu

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart
Whitepaper

Russische Cyberangriffe auf westliche Logistik: Deutsche Behörden warnen vor GRU-Einheit 26165

BEC- und FTF-Angriffe – keine andere Cyberbedrohung hat 2024 für mehr Schaden gesorgt

100 Tage bis zum Inkrafttreten des Data Act: Deutsche Unternehmen kaum vorbereitet

Weltweiter Sicherheitslagebericht zeigt dringenden Handlungsbedarf: Vernetzte Prozesse als Schlüssel

BSI warnt: Energieversorgung braucht stärkere Cybersicherheit
Hamsterrad-Rebell

Insider – die verdrängte Gefahr

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
