Hacker verbreiten Malware über infizierte Putty Installer Downloads

Am 22. März 2024 schrieben MalwareBytes Labs in einem Bericht über eine ausgeklügelte Malvertising-Kampagne, bei der Hacker gefälschte PuTTY-Downloads anbieten, um Malware vom Typ Rhadamanthys-Stealer zu verbreiten.

Sog. Malware-Loader, auch bekannt als Dropper oder Downloader, sind in der kriminellen Unterwelt ein begehrtes Gut. Ihre Hauptfunktion besteht darin, einen Rechner erfolgreich zu kompromittieren und eine oder mehrere zusätzliche Schadsoftware-Komponenten zu installieren. Ein effektiver Loader vermeidet Erkennung und identifiziert Opfer als legitim (d.h. keine Sandboxen), bevor er weitere Malware einschleust.

In dieser Kampagne nutzen die Angreifer eine Malvertising-Strategie mit einem neuen Loader, der in der Programmiersprache Go geschrieben ist. Dieser Loader verteilt dann ein Folgepayload, den Trojaner Rhadamanthys-Stealer, der sensible Daten von Rechnern extrahiert.

Die Angreifer schalten gezielt auf Google Anzeigen Werbung zum Putty Download und geben vor, die Homepage von PuTTY zu sein. Die Anzeige erscheint dabei bei Google Suchen nach Putty noch vor der offiziellen Webseite. Ein verdächtiges Indiz ist der in der Anzeige angezeigte Domainname puttyconnect.info, der nicht mit PuTTY in Verbindung steht.

Das heruntergeladene “PuTTy.exe” ist aber stattdessen ein Dropper, der Ausführung eine IP-Überprüfung durchführt. Nur wenn die IP-Adresse mit der des Opfers übereinstimmt, wird ein weiterer Payload von einem anderen Server heruntergeladen.

Die Rhadamanthys Stealer Payload wird anschließend vom übergeordneten Prozess PuTTy.exe ausgeführt. Der Einsatz dieses Schadsoftware-Loaders in Verbindung mit Malvertising-Techniken zeigt die ausgefeilten Methoden, mit denen Cyberkriminelle arbeiten, um Malware zu verbreiten.

Related Posts

Gofetch - unpatchbare Sicherheitslücke in Apples M1, M2 und M3 Chips

Eine im März 2024 veröffentlichte nicht patchbare Sicherheitslücke namens GoFetch stellt eine ernsthafte Bedrohung für die Sicherheit der Apple M1, M2 und M3 Chips dar. Es handelt sich um einen Seitenkanalangriff, der die datenabhängigen Prefetcher (DMPs) in diesen Chips ins Visier nimmt und es einem Angreifer ermöglicht, geheime Schlüssel aus konstanten kryptographischen Implementierungen zu extrahieren.

Read More

Kritische Sicherheitslücke in ClickUp Desktop auf Windows und Mac

Am 23.3.2024 wurde eine kritische Schwachstelle in ClickUp Desktop, einer Projektmanagement- und Produktivitätssoftware, entdeckt. Die Lücke CVE-2024-23755 betrifft macOS- und Windows Installationen vor Version 3.3.77 und hat einen kritischen CVSS Score von 9.8/10.

Read More

Kritische Sicherheitslücke in Advantech WebAccess/SCADA entdeckt

Am 21. März 2024 wurde eine wichtige Sicherheitswarnung für die SCADA-Software WebAccess von Advantech veröffentlicht. Ein SQL-Injection-Sicherheitsrisiko, das entfernte Authentifizierung erfordert, aber nur eine geringe Angriffskomplexität aufweist, betrifft die Version 9.1.5U von Advantech WebAccess/SCADA. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer, SQL-Code in die Datenbank einzuschleusen und somit Daten aus der Ferne zu lesen oder zu modifizieren.

Read More