Trojaner nutzt GoTo Meeting als Rust Shellcode Loader

Table of Contents

Laut einer Malware Studie von GData wird die Anwendung GoTo Meeting ausgenutzt, um Malware auf Windows zu installieren. Threat Actors nutzten dabei GoTo Meeting zur Verbreitung des Remcos RAT (Remote Access Trojan). Angreifer verwenden dabei Dateien, wie Software-Setup-Dateien und Steuerformulare, oft mit Dateinamen in russischer und englischer Sprache, um Opfer anzulocken. Der Bericht zeigt folgende Infektionskette auf:

LNK-Ausführungskette:

  • Eine ZIP-Datei namens myrecentfiles23.zip enthält eine Verknüpfung (myrecentfiles.lnk) mit einem PDF-Icon.
  • Beim Anklicken öffnet die Verknüpfung ein Täuschungs-PDF (MLD.pdf) und führt gleichzeitig winsys.odt aus, eine signierte GoTo Meeting-Executable.
  • Die legitime Executable lädt eine bösartige DLL (g2m.dll) über DLL-Sideloading, was zur Ausführung der Malware führt.

Rust Loader und Shellcode:

  • Die bösartige DLL, geschrieben in Rust, exportiert Funktionen, die nicht funktional sind, aber die Ausführung des Malware-Loaders sicherstellen.
  • Der Rust-Code liest eine verschlüsselte data.bin-Datei, allokiert ausführbaren Speicher und führt den Shellcode aus, der die Remcos RAT-Payload entschlüsselt und ausführt.

JS-Infektionskette:

  • Eine JScript-Datei startet die Infektion, indem sie ein PowerShell-Skript von rentry.co herunterlädt.
  • Das PowerShell-Skript lädt eine weitere ZIP-Datei herunter, die eine Verknüpfung im Autostart-Ordner erstellt. Diese Verknüpfung führt eine Batch-Datei (run.bat) aus, die zur gleichen Ausführungskette wie die LNK-Methode führt.

Dateihashes und URLs, die mit der bösartigen Variante von GoTo Meetings g2m.dll und zugehörigen Malware-Dateien verbunden sind, wurden identifiziert, um die Erkennung und Abwehr dieser Bedrohung zu unterstützen. Es empfiehlt sich eine solide Endpoint Protection Lösung einrichten zu lassen, die vor solchen Gefahren schützt.

Related Posts

Bösartige Go-Binärdatei mittels Steganografie in PyPI verteilt

Am 10. Mai 2024 alarmierte die Risikodetektionsplattform von Phylum über eine verdächtige Veröffentlichung auf PyPI. Das Paket namens requests-darwin-lite erschien als ein Fork des beliebten requests-Pakets, jedoch mit einer kritischen Abweichung: einer bösartigen Go-Binärdatei, die in eine große Version des tatsächlichen requests-Seitenleisten-Logos (PNG) eingebettet war.

Read More

Command injection im Network Monitoring Tool Cacti möglich

Das Github Security Advisory GHSA-cr28-x256-xf5m beschreibt eine kritische Command Injection Schwachstelle im beliebten Open Source Network Monitoring Tool Cacti. Diese Schwachstelle CVE-2024-29895 betrifft die Version 1.3.x DEV, während die gepatchte Version ebenfalls 1.3.x DEV ist.

Read More

Kritische Sicherheitslücken in Arcserve Unified Data Protection

In der Software Arcserve Unified Data Protection (UDP) Version 9.2 wurden mehrere schwerwiegende Sicherheitslücken identifiziert, die ernsthafte Bedrohungen für die IT-Sicherheit darstellen.

Read More