Missbrauch von Paste.ee: Malware-Kampagnen mit XWorm und AsyncRAT nutzen legitime Dienste als Waffe

24. Juni 2025

Cyberkriminelle setzen auf vertraute Plattformen + Die Text-Sharing-Plattform Paste.ee gerät ins Visier von Cybersicherheitsexperten: Kriminelle nutzen den eigentlich legitimen Dienst, um gefährliche Schadsoftware wie XWorm und AsyncRAT zu verbreiten. Die Malware wird über manipulierte Paste-Einträge verbreitet, die dann über Phishing-Mails oder Social-Engineering-Kampagnen ihren Weg zu Opfern finden.

Phishing mit Tarnkappe: legitime Dienste als Malware-Schleuder

Die Angreifer platzieren ihre Schadcode-Snippets oder verschlüsselten Payloads auf Paste.ee, getarnt als harmlose Textfragmente. Diese enthalten Links oder Code, der beim Aufruf die Malware nachlädt. Besonders perfide: Die URLs werden in täuschend echt wirkenden E-Mails versteckt, die seriöse Absender imitieren und häufig HTML-Techniken zur Verschleierung nutzen.

Paste.ee als Teil einer globalen C2-Infrastruktur

Was zunächst wie einfacher Missbrauch erscheint, offenbart sich bei genauer Analyse als Teil einer komplexen, global agierenden Command-and-Control-Infrastruktur. Die Malware-Samples kommunizieren mit weltweit verteilten Servern und nutzen Paste.ee als Sprungbrett. Dabei kommen fortgeschrittene Tarnmethoden zum Einsatz: Polymorpher Code soll die Erkennung durch signaturbasierte Antivirenlösungen umgehen, verschlüsselte Kommunikation erschwert die Analyse durch Netzwerk-Tools wie Wireshark.

XWorm und AsyncRAT: vielseitige Spionagewerkzeuge

Beide eingesetzten Malware-Varianten gelten als leistungsfähig und schwer zu erkennen.

• XWorm ist ein Remote-Access-Trojaner mit Funktionen wie Keylogging, Datenexfiltration und Systemmanipulation.

• AsyncRAT wiederum ist auf Credential-Diebstahl spezialisiert und kann durch seine Tarntechniken lange unentdeckt bleiben.

In kompromittierten Systemen nutzen die Täter geplante Aufgaben, um Persistenz zu gewährleisten – eine Technik, die gezielt Schwachstellen in der Systemkonfiguration ausnutzt.

Fallbeispiel: Downloader tarnt sich als JavaScript-Snippet

Ein konkreter Fund zeigt die Raffinesse der Angriffe: Sicherheitsforscher entdeckten auf MalwareBazaar eine vermeintlich defekte JavaScript-Datei mit ungewöhnlicher Syntax. Der Code erwies sich jedoch als getarnter Downloader, der direkt mit einem Paste.ee-Eintrag kommunizierte. Der Datei-Name „DOCUMENT FOR DELIVERY INFORMATION.js“ sollte Vertraulichkeit vortäuschen – tatsächlich verbarg sich dahinter ein Sample mit Verbindungen zu RemcosRAT und letztlich zu XWorm.

Verschleiertes JavaScript auf MalwareBaazer

Risikozone Finanzbranche: gezielte Angriffe auf Banken

Die Angriffe betreffen verstärkt den lateinamerikanischen Bankensektor, der bereits unter Druck durch Infostealer wie Lumma oder DCRat steht. Experten warnen, dass RATs wie AsyncRAT leicht an die Erfassung sensibler Finanzdaten angepasst werden können. Die professionelle Durchführung dieser Kampagnen erinnert an Methoden staatlich unterstützter APT-Gruppen, etwa aus dem Iran oder China.

Schutzmaßnahmen: Technik reicht nicht – auch Awareness ist gefragt

Um solchen Angriffen entgegenzuwirken, empfehlen Experten eine Kombination aus:

• Verhaltensbasierter Endpunktschutz zur Erkennung verdächtiger Skriptausführungen

• Web-Sicherheitslösungen wie mod_security2, die verdächtigen Datenverkehr auf legitimen Plattformen überwachen

• Benutzerschulungen zur Sensibilisierung gegenüber Phishing

Ebenso wichtig sind ein kontinuierliches Monitoring, Threat Intelligence Sharing sowie die Entwicklung von Erkennungsmethoden wie SSL-Fingerprinting und Regex-Analyse, um ähnliche Kampagnen frühzeitig zu identifizieren.

Phishing-URLs im Zusammenhang mit passte.ee auf der Hunt.io-Plattform

Bei der Überprüfung kürzlich eingereichter Malware aus einem öffentlichen Repository haben wir eine kleine JavaScript-Datei mit ungewöhnlichen Unicode-Zeichen und fehlerhafter Syntax entdeckt. Auf den ersten Blick sah es wie fehlerhafter oder unvollständiger Code aus, aber tatsächlich handelte es sich um einen getarnten Downloader, der Kontakt zu paste.ee aufnahm, einem legitimen Dienst, der häufig zum Hosten von Payloads missbraucht wird.

Was wie ein eigenständiges Skript aussah, stellte sich als Teil einer umfassenderen Kampagne heraus, die Verschleierung, Paste-Sites und eine weltweit verteilte C2-Infrastruktur umfasste, die mit bekannten Fernzugriffstools verbunden war.

Weitere Analysen ergaben Verbindungen zu XWorm, einem heimlichen RAT mit Funktionen wie Keylogging, Datenexfiltration und persistenter Fernzugriff. In diesem Bericht beschreiben wir detailliert, wie wir die Aktivitäten zurückverfolgt, IOCs extrahiert und Regex- und SSL-Fingerprinting-Techniken entwickelt haben, um Verteidigern bei der Erkennung ähnlicher Bedrohungen zu helfen.

„Unser Forschungsteam entdeckte dieses Skript bei der Überwachung neu hochgeladener Samples auf MalwareBazaar.“

Es wurde sofort mit der Signatur „RemcosRAT“ gekennzeichnet und fiel uns aufgrund seines irreführenden Dateinamens „DOCUMENT FOR DELIVERY INFORMATION.js“ auf. Mit einer Größe von knapp 3 KB sieht es zwar harmlos aus, aber sein Verhalten und seine Indikatoren deuteten eindeutig auf einen bekannten Fernzugriffstrojaner hin.

Diese Probe wurde zum Ausgangspunkt unserer Untersuchung, und unsere weiteren Erkenntnisse zeigen, wie Angreifer weiterhin auf kleine, als Waffen eingesetzte Skripte setzen, um leistungsstarke Malware zu verbreiten.

Zusammenfassung

Diese Kampagne zeigt, wie Angreifer ihre Methoden weiterentwickeln, um ihre Spuren besser zu verwischen. Sie nutzen paste.ee, eine legitime Website, auf der Nutzer Textausschnitte teilen, als Ausgangspunkt für die Verbreitung gefährlicher Malware.

„Was uns aufgefallen ist, war die raffinierte Methode, mit der sie ihren Code mithilfe seltsamer Unicode-Zeichen verstecken, die die meisten Menschen nicht als verdächtig erkennen würden.“

Empfohlene Abwehrmaßnahmen

Um sich vor diesen hinterhältigen Angriffen zu schützen, blockieren Sie alle identifizierten Domains und verdächtigen paste.ee-URLs, die im Bericht erwähnt werden. Achten Sie insbesondere auf seltsame paste.ee-Links, die einem bestimmten Muster folgen, wie z. B. https://paste.ee/d/something/0

Achten Sie auf seltsame Verbindungen zu ungewöhnlichen Ports wie 6606 oder 7707, über die die Angreifer ihre Malware steuern.

Stellen Sie sicher, dass Ihre Sicherheitssoftware auf dem neuesten Stand ist und nicht nur bekannte Viren, sondern auch ungewöhnliches Verhalten erkennen kann. Seien Sie besonders vorsichtig bei E-Mails, die Links zu Paste-Diensten enthalten, und achten Sie auf unübersichtliches oder stark verschleiertes JavaScript, das auf einen Versuch hinweisen kann, die Downloader-Logik oder eingebettete Payloads zu verbergen.

Wenn Sie für die Sicherheit in Ihrem Unternehmen verantwortlich sind, überprüfen Sie Ihre Systeme regelmäßig auf diese Warnzeichen und verdächtige Aktivitäten, die darauf hindeuten könnten, dass Sie angegriffen wurden.

Quelle: Hunt.io

---

Bild/Quelle: https://depositphotos.com/de/home.html