profit_image - stock.adobe.com
Remcos-Malware: Remote-Access-Trojaner mit neuer Tarnung
Remote-Access-Trojaner sind eine große Bedrohung, übernehmen sie doch die vollständige Kontrolle über ein System. Die Tarnung der Schadsoftware wird dabei immer ausgefeilter.
Im Spätsommer 2020 wurden die Threat-Analysten von Bitdefender auf einen Anstieg der Remcos-Malware aufmerksam. Die Malware-Familie ist Cyberkriminellen und Security-Forschern schon länger bekannt. Die neue Kampagne erregte die Aufmerksamkeit der Experten, da sie sich über Phishing-E-Mails mit Angeboten zu Finanzdienstleistungen und COVID-19-Informationen verbreitete.
In der aktuell angespannten Pandemiesituation konnte der Remote-Access-Trojaner so mehr Opfer als sonst erreichen und erfolgreich angreifen. Der Schwerpunkt der Aktionen lag dabei in Kolumbien mit dem Zentrum in der Hauptstadt Bogotá.
Die Remcos-Software kann Systeme im Fernzugriff überwachen und steuern. Von der Gruppe „Breaking Security“ entwickelt kam sie 2017 auf den Markt und hat seitdem unter Cyberangreifern Karriere gemacht. Unter anderem schaffte sie es auch in das Arsenal von APT-Akteuren (Advanced Persistent Threat) wie der Gorgon Group und APT33. Da sich dieses kriminell genutzte Remote Access Tool verbreitet sich über Phishing-E-Mails.
Attacke auf die Privatsphäre
Remote-Access-Trojaner sind von Natur aus eine große Gefahr. Mit ihr können Angreifer die vollständige Kontrolle über ein Gerät und Daten erlangen. Zusätzlich erhalten sie Zugriff auf Sensoren wie die Webcam oder das Mikrofon. Auf dem System gespeicherte Anmeldeinformationen oder Daten können darüber leicht in die falschen Hände geraten und weiterverwendet werden, um Zugang zu weiteren Konten zu erhalten oder das Opfer zu erpressen.
Im Vergleich zu früheren Ausbrüchen verwendete die neue Kampagne in Kolumbien mehrere bemerkenswerte Taktiken. Eine technische Besonderheit war die Kommunikation mit Imgur, einer kostenlosen Fotohosting-Plattform. Die Analyse ergab, dass die Malware-Autoren den Imgur-Dienst missbrauchten, um auf ihr in Bildern eincodierte bösartige Payload zu hosten. Diese Technik wird Steganografie genannt und eröffnet neue wirksame Infektionsvektoren.
Denn Fotodienste sind beliebt und werden zudem von Sicherheitssoftware häufig auf die Whitelist gesetzt. Der Datenverkehr erregt dadurch keinen Verdacht. Durch die Verwendung von benutzerdefinierten Steganografie-Algorithmen für die Bilder ist die Erkennung verschlüsselter bösartiger Payloads mit statischer Erkennung praktisch unmöglich. Zwar waren schon Remcos-Varianten bekannt, die mit Steganografie Code entpacken, doch bis jetzt wurden die Bilder in die bereitgestellte ausführbare Datei eingebettet, aber nicht von Imgur heruntergeladen.
„Durch die Verwendung von benutzerdefinierten Steganografie-Algorithmen für die Bilder ist die Erkennung verschlüsselter bösartiger Payloads mit statischer Erkennung praktisch unmöglich.“
Bogdan Botezatu, Bitdefender
Neue Tarnmechanismen
Die aktuelle Variante der Schadsoftware setzt mehrere Tarnungsmechanismen ein, um ihren Erfolg sicherzustellen. Zu den interessantesten gehören die folgenden:
- Mapping von DLLs in den Adressraum und Auflösen von Funktionen in der gemappten Datei anstelle der herkömmlichen Funktionsaufrufe LoadLibrary + GetProcAddress,
- Nutzen von COM für verschiedene Funktionalitäten,
- das bereits erwähnte Hosting von Nutzdaten auf Imgur und Verwendung eines individuell angepassten Steganografie-Algorithmus zum Verschlüsseln und Entschlüsseln von Daten,
- mehrere Ebenen der Code Injection, um bösartige Aktionen hinter scheinbar legitimen Prozessen zu verbergen,
- sowie Anti-Reverse-Engineering-Tricks, die Malware-Experten zu einer zeitintensiven Sample-Analyse zwingen.
Wer sich für eine tiefergehende Analyse der Angriffswege und Taktiken der aktuellen Remcos-RAT-Attacke interessiert, findet in einem detaillierten Whitepaper weiterführende Informationen.
Über den Autor:
Bogdan Botezatu ist Leiter der Bedrohungsanalyse bei Bitdefender.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
