Eine laufende Malvertising-Kampagne wird genutzt, um virtualisierte .NET-Loader zu verbreiten, mit denen die Schadsoftware FormBook zum Stehlen von Informationen eingesetzt werden soll.
„Die Loader mit dem Namen MalVirt nutzen eine verschleierte Virtualisierung, um Analysen zu verhindern und Prozesse zu umgehen, sowie den Windows Process Explorer-Treiber, um Prozesse zu beenden“, schreiben die SentinelOne-Forscher Aleksandar Milenkoski und Tom Hegel in einem technischen Bericht.
Die Verlagerung auf Google Malvertising ist das jüngste Beispiel dafür, wie Kriminelle alternative Verbreitungswege für Malware finden, seit Microsoft angekündigt hat, die Ausführung von Makros in Office standardmäßig zu blockieren, wenn Dateien aus dem Internet heruntergeladen werden.
Beim Malvertising wird Werbung in betrügerischen Suchmaschinen geschaltet, in der Hoffnung, dass Nutzer, die nach beliebter Software wie Blender suchen, dazu verleitet werden, die trojanisierte Software herunterzuladen.
Die MalVirt Loader, die in .NET implementiert sind, nutzen den legitimen KoiVM Virtualisierungsschutz für .NET-Anwendungen, um ihr Verhalten zu verschleiern, und haben die Aufgabe, die FormBook-Malwarefamilie zu verbreiten.
Die Loader nutzen nicht nur Anti-Analyse- und Anti-Erkennungstechniken, um die Ausführung innerhalb einer virtuellen Maschine oder einer Anwendungs-Sandbox-Umgebung zu umgehen, sondern verwenden auch eine modifizierte Version von KoiVM, die zusätzliche Verschleierungsschichten einbaut, um die Entschlüsselung noch schwieriger zu machen.
Die Loader setzen auch einen signierten Microsoft Process Explorer-Treiber ein und laden ihn mit dem Ziel, Aktionen mit erhöhten Rechten auszuführen. Die Berechtigungen können zum Beispiel genutzt werden, um Prozesse, die mit Sicherheitssoftware verbunden sind, zu beenden, um nicht entdeckt zu werden.
Sowohl FormBook als auch sein Nachfolger XLoader implementieren eine Vielzahl von Funktionen, wie z. B. Keylogging, Screenshot-Diebstahl, das Abgreifen von Web- und anderen Anmeldedaten und das Einschleusen von zusätzlicher Malware.
Die Malware-Stämme zeichnen sich auch dadurch aus, dass sie ihren Command-and-Control (C2)-Verkehr durch verdeckte HTTP-Anfragen mit verschlüsselten Inhalten an mehrere Täuschungsdomänen tarnen, wie Zscaler und Check Point letztes Jahr aufgedeckt haben.
„Als Reaktion darauf, dass Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert, haben sich Bedrohungsakteure alternativen Malware-Verbreitungsmethoden zugewandt – zuletzt Malvertising“, so die Forscher.
„Die MalVirt-Loader […] zeigen, wie viel Aufwand Bedrohungsakteure betreiben, um der Erkennung zu entgehen und Analysen zu vereiteln.“
Es ist bezeichnend, dass diese Methode in den letzten Monaten von anderen kriminellen Akteuren genutzt wurde, um IcedID, Raccoon, Rhadamanthys und Vidar-Stealer zu verbreiten.
„Es ist wahrscheinlich, dass ein Bedrohungsakteur damit begonnen hat, Malvertising als Dienstleistung im Dark Web zu verkaufen, und die Nachfrage ist groß“, so Abuse.ch in einem Bericht, der auf einen möglichen Grund für die „Eskalation“ hinweist.
Die Ergebnisse kommen zwei Monate nachdem das indische Unternehmen K7 Security Labs eine Phishing-Kampagne aufgedeckt hat, die einen .NET-Loader nutzt, um Remcos RAT und Agent Tesla über eine virtualisierte KoiVM-Binärdatei zu verbreiten.
Aber es geht nicht nur um bösartige Werbung, denn die Angreifer experimentieren auch mit anderen Dateitypen wie Excel-Add-Ins (XLLs) und OneNote-E-Mail-Anhängen, um die Sicherheitsschranken zu überwinden. Neu auf dieser Liste ist die Verwendung von Visual Studio Tools for Office (VSTO) Add-Ins als Angriffsmittel.
„VSTO-Add-ins können zusammen mit Office-Dokumenten verpackt werden (Local VSTO) oder alternativ von einem entfernten Ort geholt werden, wenn ein VSTO-haltiges Office-Dokument geöffnet wird (Remote VSTO)“, teilte Deep Instinct letzte Woche mit. „Dies kann jedoch die Umgehung von vertrauensbezogenen Sicherheitsmechanismen erfordern.