Cybersecurity-Forscher machen auf ein kostenloses Browser-Automatisierungs-Framework aufmerksam, das zunehmend von Bedrohungsakteuren für ihre Angriffskampagnen genutzt wird.
„Das Framework enthält zahlreiche Funktionen, die unserer Einschätzung nach für bösartige Aktivitäten genutzt werden können“, so die Forscher von Team Cymru in einem neuen Bericht, der am Mittwoch veröffentlicht wurde.
„Die technische Einstiegshürde für das Framework ist bewusst niedrig gehalten, was dazu geführt hat, dass eine aktive Gemeinschaft von Entwicklern und Mitwirkenden entstanden ist, die in der Untergrundökonomie ihre Zeit für die Erstellung von maßgeschneiderten Werkzeugen anbieten.
Das US-Cybersicherheitsunternehmen erklärte, es habe Command-and-Control-(C2)-IP-Adressen beobachtet, die mit Malware wie Bumblebee, BlackGuard und RedLine Stealer in Verbindung stehen und Verbindungen zur Download-Subdomain von Bablosoft („downloads.bablosoft[.]com“), dem Hersteller von Browser Automation Studio (BAS), herstellen.
Bablosoft wurde bereits im Februar 2021 von F5 dokumentiert und wies darauf hin, dass das Framework in der Lage ist, Aufgaben in Googles Chrome-Browser auf ähnliche Weise zu automatisieren wie legitime Entwickler-Tools wie Puppeteer und Selenium.
Die Bedrohungsdaten für die IP-Adresse der Subdomain – 46.101.13[.]144 – zeigen, dass ein Großteil der Aktivitäten aus Russland und der Ukraine stammt, wobei Open Source Intelligence darauf hindeutet, dass der Eigentümer von Bablosoft in der ukrainischen Hauptstadt Kiew ansässig ist.
Es wird vermutet, dass sich die Betreiber der Malware-Kampagnen mit der Bablosoft-Subdomain verbunden haben, um zusätzliche Tools herunterzuladen, die sie im Rahmen von Nachbeutungsaktivitäten einsetzen können.
Außerdem wurden mehrere Hosts identifiziert, die mit Kryptojacking-Malware wie XMRig und Tofsee in Verbindung stehen und mit einer zweiten Subdomain namens „fingerprints.bablosoft[.]com“ kommunizieren, um einen Dienst zu nutzen, mit dem die Mining-Malware ihr Verhalten verschleiern kann.
„Anhand der Anzahl der Akteure, die bereits die auf der Bablosoft-Website angebotenen Tools nutzen, können wir nur erwarten, dass BAS ein immer häufigeres Element im Toolkit der Bedrohungsakteure wird“, so die Forscher.