
MalVirt-Loader verwenden verschleierte Virtualisierung, um Analysen zu verhindern und zu umgehen, und nutzen den Windows Process Explorer-Treiber zum Beenden von Prozessen
Die Sicherheitsforscher von SentinelLabs, der Research-Abteilung von SentinelOne, entdeckten bei der Untersuchung jüngster Malvertising-Angriffe eine weitere Gruppe virtualisierter Malware-Loader, die sich dem Trend angeschlossen haben. Die so genannten MalVirt-Loader sind in .NET implementiert und nutzen Virtualisierung, basierend auf dem KoiVM Virtualisierungsschutz von .NET-Anwendungen, um ihre Implementierung und Ausführung zu verschleiern. Obwohl die KoiVM-Virtualisierung bei Hacking-Tools sehr beliebt ist, ist ihr Einsatz durch Cyberbedrohungsakteure als Verschleierungsmethode eine neue Entwicklung.
Technischer Hintergrund
Unter den Nutzdaten, die MalVirt-Loader verteilen, haben die Sicherheitsforscher Infostealer-Malware der Formbook-Familie als Teil einer laufenden Kampagne entdeckt. Die Verbreitung dieser Malware zeichnet sich durch eine ungewöhnliche Menge an angewandten Anti-Analyse- und Anti-Erkennungstechniken aus. Die derzeitige Häufung von Bedrohungsakteuren, die alternative Malware-Verbreitungsmethoden für Office-Makros nutzen, wie Malvertising, Windows-Verknüpfungen (LNK-Dateien) und ISO-Dateien, ist eine Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert. Malvertising ist eine Methode zur Verbreitung von Malware, die derzeit bei Bedrohungsakteuren sehr beliebt ist, was sich in den letzten Wochen durch eine deutliche Zunahme von manipulierter Suchmaschinenwerbung gezeigt hat.
Bei einer routinemäßigen Google-Suche nach „Blender 3D“ und der Untersuchung der Ergebnisse wurde erstmals ein MalVirt-Beispiel entdeckt. Die Loader geben hierbei vor, mit Signaturen und Gegensignaturen von großen Unternehmen wie Microsoft, Acer, DigiCert, Sectigo und AVG Technologies USA digital signiert zu sein. Diese Signaturen sind jedoch mit ungültigen Zertifikaten erstellt, oder es handelt sich um Zertifikate, denen das System nicht vertraut (d. h. die nicht im Zertifikatspeicher der Trusted Root Certification Authorities gespeichert sind). Das entsprechende Zertifikat scheint zum Beispiel von Microsoft zu sein, besteht aber die Signaturprüfung nicht. Um den echten C2-Verkehr (Command-and-Control-Infrastruktur) zu verschleiern und Netzwerkerkennungen zu umgehen, sendet die Malware Signale an zufällige Täuschungs-C2-Server, die bei verschiedenen Hosting-Anbietern wie Azure, Tucows, Choopa und Namecheap gehostet werden.
Malvertising – Einsatz und Verbreitung
Diese Form der Malware wird im Dark Web verkauft und üblicherweise als Anhang von Phishing-E-Mails versendet. Während sie in der Regel von Bedrohungsakteuren mit cyberkriminellen Motiven eingesetzt wird, wurde ihre Verwendung in jüngster Zeit auch als Teil von Angriffen mit möglicherweise politischen Motiven beobachtet – im September 2022 berichtete das ukrainische CERT über eine Formbook/XLoader-Kampagne, die über Phishing-E-Mails mit Kriegsthematik auf ukrainische staatliche Organisationen abzielte. Im Falle eines komplizierten Loaders könnte dies darauf hindeuten, dass versucht wird, cyberkriminelle Verbreitungsmethoden zu übernehmen, um nach der ersten Validierung gezieltere Malware der zweiten Stufe auf bestimmte Opfer zu laden. Eine genaue Betrachtung der MalVirt-Loader und die anschließend von ihnen verbreitete Infostealer-Malware, verdeutlicht den enormen Aufwand, den die Bedrohungsakteure betrieben haben, um der Erkennung zu entgehen und die Analyse zu vereiteln.
Fazit
Als Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert, verwenden die Bedrohungsakteure nun alternative Methoden zur Verbreitung von Malware – zuletzt immer häufiger Malvertising. Bei der Malware der Formbook-Familie handelt es sich um einen äußerst leistungsfähigen Infostealer, der von den MalVirt-Loadern zur Verhinderung von Analysen und Erkennung eingesetzt wird. Da die Bedrohungsakteure durch das Malvertising ein riesiges Publikum erreichen können, ist davon auszugehen, dass diese Methode der Malware-Verbreitung in Zukunft noch weiter zunehmen wird.
Weitere Informationen über diese Untersuchung von SentinelLabs finden Sie hier: https://www.sentinelone.com/labs/malvirt-net-virtualization-thrives-in-malvertising-attacks/
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
