Das Cyberint Research Team hat einen neuen, raffinierten Schadsoftware-Installer namens „UULoader“ entdeckt, der Windows-Installationsdateien (.msi) nutzt, um Malware zu verbreiten. Diese MSI-Dateien, die als legitime Anwendungen oder Updates getarnt sind, zielen vor allem auf koreanische und chinesische Nutzer ab.
„UULoader“ setzt auf eine mehrstufige Technik zur Umgehung von Sicherheitsmaßnahmen: Die enthaltenen ausführbaren Dateien (.exe und .dll) werden ohne ihre typischen Datei-Header verbreitet, um einer Erkennung durch Sicherheitssoftware zu entgehen. Einmal ausgeführt, erstellt „UULoader“ einen Ordner namens „Microsoft Thunder“ auf dem System und installiert die manipulierten Dateien zusammen mit einer verschleierten Endnutzlast.
Der Installer führt zudem ein Visual Basic Script (.vbs) aus, das den neu erstellten Ordner als Ausnahme für Windows Defender registriert und dadurch die Erkennung weiter erschwert. Das Skript enthält auch „junk“-Operationen, die die Schadfunktionalität verschleiern sollen, indem sie es wie legitime Aktionen aussehen lassen. „UULoader“ nutzt Remote Access Tools wie Gh0stRat und Hacking-Tools wie Mimikatz, die als finale Nutzlast eingesetzt werden.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: