Phishing Techniken: Asyncrat Malware Attacken auf Windows-Rechner

Die aktuellen Angriffe mit der AsyncRAT-Malware über E-Mails nutzen eine ausgeklügelte Phishing-Technik, um den Trojaner zu verbreiten. Die Software AsyncRAT ist Open Source und eigentlich zum Fernzugriff auf Windows Rechner bestimmt. Jedoch eignet Sie sich auch hervorragend für die Zwecke von Hackern, um Daten zu klauen und Malware zu installieren. Da diese Software nicht automatisch auf Windows installiert ist und auch nicht so eingestellt ist, dass Hacker diese einfach nutzen können, haben diese einen ausgeklügelten Plan entwickelt, wie sich eine für die Zwecke der Hacker modfizierte AsyncRat Version unbemerkt von Malware Scannern und den Opfern auf Rechnern installiert:

  1. Infektionsbeginn mit E-Mail: Die Angriffe beginnen mit einer bösartigen E-Mail, die einen GIF-Anhang enthält. Dieser führt zu einer SVG-Datei, die wiederum ein obfuskiertes JavaScript und PowerShell-Skripte herunterlädt.
  2. Verwendung von HTML-Anhängen: In einigen Fällen wird eine E-Mail mit einem HTML-Anhang verschickt, der als Bestellbestätigung getarnt ist. Das Öffnen dieser Datei leitet den Empfänger zu einer Webseite weiter, die ihn auffordert, eine ISO-Datei zu speichern. Diese ISO-Datei wird jedoch nicht von einem Remote-Server, sondern direkt im Browser des Opfers durch ein JavaScript generiert.
  3. Weiterführung der Infektionskette: Wenn das Opfer die ISO-Datei öffnet, wird sie automatisch als DVD-Laufwerk im Windows-Host eingebunden und enthält entweder eine .BAT- oder eine .VBS-Datei, welche die Infektionskette fortsetzt, indem sie eine nächste Komponente über PowerShell-Befehlsausführung abruft. Dies führt zur Ausführung eines .NET-Moduls im Speicher, das schließlich AsyncRAT als endgültige Schadsoftware ausliefert. Dabei wird auch auf Antivirensoftware überprüft und Ausnahmen für Windows Defender eingerichtet.
  4. Advanced Tactics and Evasion: Die Angreifer nutzen fortschrittliche Taktiken, die es der Malware ermöglichen, von den meisten Antivirenprogrammen unentdeckt zu bleiben. Die Infrastruktur des Angreifers umfasst Download-Server, Command-and-Control-Server und bösartige Subdomains, die auf Cloud-Diensten wie Microsoft Azure und AWS gehostet werden.

Ist AsyncRat erst einmal installiert, lässt sich damit beliebige Mal installieren, die es den Angreifern ermöglichen, die kompromittierten Maschinen vollständig zu überwachen und zu steuern.

Tags :

Related Posts

Aktuelle Phishing Mails zielen auf alte Excel Versionen

Cybersecurity-Forscher haben eine Zunahme der Ausnutzung einer alten Microsoft Excel-Sicherheitsanfälligkeit, CVE-2017-11882, zur Verbreitung einer Malware namens Agent Tesla beobachtet. Diese Sicherheitslücke, eine Speicherbeschädigung im Gleichungseditor von Microsoft Office, kann zu einer Codeausführung mit den Privilegien des Nutzers führen, ohne dass weitere Interaktionen erforderlich sind.

Read More

KyberSlash überwindet Postquanten Kryptographie

KyberSlash bezieht sich auf eine Reihe von Schwachstellen, die in mehreren Implementierungen des Kyber-Schlüsselkapselungsmechanismus entdeckt wurden, der für quantensichere Verschlüsselung verwendet wird. Diese Schwachstellen sind bedeutend, da sie potenziell die Wiederherstellung geheimer Schlüssel ermöglichen und somit ein Risiko für die Sicherheit von Quantenverschlüsselungsprojekten darstellen.

Read More

Black Basta Ransomware: Softwareschwachstelle ermöglicht Datenrettung

Black Basta ist eine Ransomware as a Service Gruppe, die ihre Software Cyberkriminellen im DarkNet anbietet. Seit seiner Entstehung Anfang 2022 hat die Black Basta Ransomware-Gruppe mehr als 329 Organisationen angegriffen und dabei Zahlungen in Höhe von mindestens 107 Millionen US-Dollar von über 90 Opfern erhalten. Zu den bemerkenswerten Opfern im Jahr 2022 zählen der Schweizer Technologiekonzern ABB, das britische Outsourcing-Unternehmen Capita und Dish Network. Black Basta, vermutlich ein Ableger der Conti-Gruppe, nutzt doppelte Erpressungstaktiken, indem sie sensible Daten von Opfern exfiltriert, bevor sie deren Netzwerke verschlüsselt und mit der Veröffentlichung der gestohlenen Informationen droht, falls kein Lösegeld gezahlt wird.

Read More