Eine neu beobachtete Phishing-Kampagne nutzt die kürzlich bekannt gewordene Follina-Sicherheitslücke aus, um eine bisher nicht dokumentierte Backdoor auf Windows-Systemen zu verbreiten.
„Rozena ist eine Backdoor-Malware, die in der Lage ist, eine Remote-Shell-Verbindung zurück auf den Rechner des Angreifers einzuschleusen“, sagte Fortinet FortiGuard Labs-Forscherin Cara Lin diese Woche in einem Bericht.
Die Sicherheitslücke CVE-2022-30190 (Microsoft Windows Support Diagnostic Tool (MSDT)), die inzwischen gepatcht wurde, wurde in den letzten Wochen stark ausgenutzt, seit sie Ende Mai 2022 bekannt wurde.
Ausgangspunkt für die jüngste von Fortinet beobachtete Angriffskette ist ein waffenfähiges Office-Dokument, das beim Öffnen eine Verbindung zu einer Discord-CDN-URL herstellt, um eine HTML-Datei („index.htm“) abzurufen, die wiederum das Diagnoseprogramm mit einem PowerShell-Befehl aufruft, um die nächste Stufe der Nutzdaten aus demselben CDN-Anhangsbereich herunterzuladen.
Dazu gehören das Rozena-Implantat („Word.exe“) und eine Batch-Datei („cd.bat“), die MSDT-Prozesse beenden, die Persistenz der Hintertür durch eine Änderung der Windows-Registrierung sicherstellen und ein harmloses Word-Dokument als Köder herunterladen soll.
Die Hauptfunktion der Malware besteht darin, Shellcode einzuschleusen, der eine Reverse Shell zum Host des Angreifers („microsofto.duckdns[.]org“) startet und es dem Angreifer ermöglicht, die Kontrolle über das System zu übernehmen, die er zum Überwachen und Erfassen von Informationen benötigt, und gleichzeitig eine Hintertür zum kompromittierten System zu behalten.
Die Ausnutzung der Follina-Schwachstelle zur Verbreitung von Malware über bösartige Word-Dokumente erfolgt im Rahmen von Social-Engineering-Angriffen, bei denen Microsoft Excel, Windows-Verknüpfungen (LNK) und ISO-Image-Dateien als Dropper genutzt werden, um Malware wie Emotet, QBot, IcedID und Bumblebee auf dem Gerät des Opfers zu installieren.
Die Dropper werden angeblich über E-Mails verbreitet, die direkt den Dropper oder eine passwortgeschützte ZIP-Datei als Anhang, eine HTML-Datei, die den Dropper beim Öffnen extrahiert, oder einen Link zum Herunterladen des Droppers im Text der E-Mail enthalten.
Während die Anfang April entdeckten Angriffe vor allem Excel-Dateien mit XLM-Makros enthielten, sollen die Bedrohungsakteure durch die Entscheidung von Microsoft, Makros standardmäßig zu blockieren, gezwungen worden sein, auf alternative Methoden wie HTML-Schmuggel sowie .LNK- und .ISO-Dateien auszuweichen.
Letzten Monat enthüllte Cyble Details über ein Malware-Tool namens Quantum, das in Untergrundforen verkauft wird, um Cyberkriminellen die Möglichkeit zu geben, bösartige .LNK- und .ISO-Dateien zu erstellen.
Es ist erwähnenswert, dass Makros ein bewährter Angriffsvektor für Angreifer sind, die versuchen, Ransomware und andere Malware in Windows-Systeme einzuschleusen, sei es durch Phishing-E-Mails oder andere Mittel.
Microsoft hat seine Pläne zur Deaktivierung von Office-Makros in Dateien, die aus dem Internet heruntergeladen werden, vorübergehend gestoppt und erklärt gegenüber The Hacker News, dass es sich die Zeit nimmt, „zusätzliche Änderungen vorzunehmen, um die Benutzerfreundlichkeit zu verbessern“.