Laut einer Malware Studie von GData wird die Anwendung GoTo Meeting ausgenutzt, um Malware auf Windows zu installieren. Threat Actors nutzten dabei GoTo Meeting zur Verbreitung des Remcos RAT (Remote Access Trojan). Angreifer verwenden dabei Dateien, wie Software-Setup-Dateien und Steuerformulare, oft mit Dateinamen in russischer und englischer Sprache, um Opfer anzulocken. Der Bericht zeigt folgende Infektionskette auf:
LNK-Ausführungskette:
- Eine ZIP-Datei namens
myrecentfiles23.zip
enthält eine Verknüpfung (myrecentfiles.lnk
) mit einem PDF-Icon. - Beim Anklicken öffnet die Verknüpfung ein Täuschungs-PDF (
MLD.pdf
) und führt gleichzeitigwinsys.odt
aus, eine signierte GoTo Meeting-Executable. - Die legitime Executable lädt eine bösartige DLL (
g2m.dll
) über DLL-Sideloading, was zur Ausführung der Malware führt.
Rust Loader und Shellcode:
- Die bösartige DLL, geschrieben in Rust, exportiert Funktionen, die nicht funktional sind, aber die Ausführung des Malware-Loaders sicherstellen.
- Der Rust-Code liest eine verschlüsselte
data.bin
-Datei, allokiert ausführbaren Speicher und führt den Shellcode aus, der die Remcos RAT-Payload entschlüsselt und ausführt.
JS-Infektionskette:
- Eine JScript-Datei startet die Infektion, indem sie ein PowerShell-Skript von
rentry.co
herunterlädt. - Das PowerShell-Skript lädt eine weitere ZIP-Datei herunter, die eine Verknüpfung im Autostart-Ordner erstellt. Diese Verknüpfung führt eine Batch-Datei (
run.bat
) aus, die zur gleichen Ausführungskette wie die LNK-Methode führt.
Dateihashes und URLs, die mit der bösartigen Variante von GoTo Meetings g2m.dll
und zugehörigen Malware-Dateien verbunden sind, wurden identifiziert, um die Erkennung und Abwehr dieser Bedrohung zu unterstützen. Es empfiehlt sich eine solide Endpoint Protection Lösung einrichten zu lassen, die vor solchen Gefahren schützt.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: