In Italien wurde eine neue Malware-Kampagne mit Phishing-E-Mails beobachtet, die darauf abzielt, einen Informationsdieb auf kompromittierten Windows-Systemen zu installieren.
„Die Info-Stealer-Malware stiehlt sensible Daten wie Systeminformationen, Krypto-Wallet- und Browser-Historien, Cookies und Zugangsdaten zu Krypto-Wallets von den Rechnern der Opfer“, so Uptycs-Sicherheitsforscher Karthickkumar Kathiresan in einem Bericht.
Die Details der Kampagne wurden erstmals letzten Monat vom Mailänder IT-Dienstleistungsunternehmen SI.net bekannt gegeben.
Die mehrstufige Infektionssequenz beginnt mit einer Phishing-E-Mail, die einen Link enthält, der, wenn er angeklickt wird, eine passwortgeschützte ZIP-Archivdatei herunterlädt, in der sich zwei Dateien befinden: Eine Verknüpfungsdatei (.LNK) und eine Batch-Datei (.BAT).
Unabhängig davon, welche Datei gestartet wird, bleibt die Angriffskette dieselbe, da das Öffnen der Verknüpfungsdatei dasselbe Batch-Skript abruft, das die Nutzlast des Informationsdiebs aus einem GitHub-Repository installiert. Dies geschieht über eine legitime PowerShell-Binärdatei, die ebenfalls von GitHub abgerufen wird.
Nach der Installation sammelt die C#-basierte Malware System-Metadaten und Informationen von Dutzenden von Webbrowsern (z. B. Cookies, Lesezeichen, Kreditkarten, Downloads und Anmeldeinformationen) sowie von mehreren Kryptowährungs-Wallets, die alle an eine von einem Akteur kontrollierte Domain übermittelt werden.
Um solche Angriffe abzuschwächen, wird Unternehmen empfohlen, „strenge Sicherheitskontrollen und mehrschichtige Sichtbarkeits- und Sicherheitslösungen zu implementieren, um Malware zu identifizieren und zu erkennen.“