Am 22. März 2024 schrieben MalwareBytes Labs in einem Bericht über eine ausgeklügelte Malvertising-Kampagne, bei der Hacker gefälschte PuTTY-Downloads anbieten, um Malware vom Typ Rhadamanthys-Stealer zu verbreiten.
Sog. Malware-Loader, auch bekannt als Dropper oder Downloader, sind in der kriminellen Unterwelt ein begehrtes Gut. Ihre Hauptfunktion besteht darin, einen Rechner erfolgreich zu kompromittieren und eine oder mehrere zusätzliche Schadsoftware-Komponenten zu installieren. Ein effektiver Loader vermeidet Erkennung und identifiziert Opfer als legitim (d.h. keine Sandboxen), bevor er weitere Malware einschleust.
In dieser Kampagne nutzen die Angreifer eine Malvertising-Strategie mit einem neuen Loader, der in der Programmiersprache Go geschrieben ist. Dieser Loader verteilt dann ein Folgepayload, den Trojaner Rhadamanthys-Stealer, der sensible Daten von Rechnern extrahiert.
Die Angreifer schalten gezielt auf Google Anzeigen Werbung zum Putty Download und geben vor, die Homepage von PuTTY zu sein. Die Anzeige erscheint dabei bei Google Suchen nach Putty noch vor der offiziellen Webseite. Ein verdächtiges Indiz ist der in der Anzeige angezeigte Domainname puttyconnect.info, der nicht mit PuTTY in Verbindung steht.
Das heruntergeladene „PuTTy.exe“ ist aber stattdessen ein Dropper, der Ausführung eine IP-Überprüfung durchführt. Nur wenn die IP-Adresse mit der des Opfers übereinstimmt, wird ein weiterer Payload von einem anderen Server heruntergeladen.
Die Rhadamanthys Stealer Payload wird anschließend vom übergeordneten Prozess PuTTy.exe ausgeführt. Der Einsatz dieses Schadsoftware-Loaders in Verbindung mit Malvertising-Techniken zeigt die ausgefeilten Methoden, mit denen Cyberkriminelle arbeiten, um Malware zu verbreiten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: