DownEx-Malware wird in Spionagekampagne eingesetzt

Rumänische Cybersicherheitsforscher haben eine neue Art von Malware namens DownEx entdeckt.

Es wird in einer ausgeklügelten Spionagekampagne eingesetzt, die auf Regierungsorganisationen in Zentralasien abzielt. Es gibt Hinweise darauf, dass in Russland ansässige Bedrohungsakteure daran beteiligt sind. Die Angriffe werden über Spear-Phishing-E-Mails durchgeführt, die eine mit Sprengfallen versehene Nutzlast enthalten, die als Microsoft Word-Datei getarnt ist.

Sobald der Anhang geöffnet wird, wird ein Täuschungsdokument angezeigt, während im Hintergrund eine schädliche HTML-Anwendung ausgeführt wird. Diese HTA-Datei dient dazu, Kontakt mit einem Remote-Befehls- und Kontrollserver herzustellen, um eine Nutzlast der nächsten Stufe abzurufen, bei der es sich vermutlich um eine Hintertür zum Aufbau von Persistenz handelt. Die Angreifer verwenden auch benutzerdefinierte Tools für Post-Exploit-Aktivitäten, darunter C/C++-basierte Binärdateien zum Aufzählen von Netzwerkressourcen, ein Python-Skript zum Empfangen von Anweisungen zum Stehlen von Dateien, zum Löschen anderer Malware und zum Aufzeichnen von Screenshots sowie eine C++-basierte Malware namens DownEx um Dateien auf den C2-Server zu exfiltrieren.

Zwei weitere Varianten von DownEx wurden ebenfalls entdeckt. Die Forscher stellten außerdem fest, dass es sich um einen dateilosen Angriff handelt, was bedeutet, dass das bösartige Skript nur im Speicher existiert und nie auf die Laufwerke des Opfers gelangt.

Was ist dateilose Malware und was macht sie besonders gefährlich?

Dateilose Malware ist eine Art Schadsoftware, die im Speicher eines Computers agiert, ohne Spuren auf der Festplatte zu hinterlassen. Dies macht die Erkennung und Entfernung mit herkömmlicher Antivirensoftware besonders schwierig, da keine Dateien gescannt werden müssen. Anstatt sich auf eine Datei oder eine ausführbare Datei zu verlassen, wird dateilose Malware häufig durch Techniken wie Social Engineering, Exploits oder bösartige Makros in Dokumenten verbreitet.

Eines der Hauptmerkmale dateiloser Malware besteht darin, dass sie zur Durchführung ihrer böswilligen Aktivitäten legitime Programme oder Tools nutzt, die bereits auf dem System vorhanden sind, wie z. B. PowerShell oder Windows Management Instrumentation (WMI). Auf diese Weise kann sich dateilose Malware in legitime Systemaktivitäten einmischen und der Erkennung durch herkömmliche Antivirensoftware entgehen.

Ein weiterer Grund, warum dateilose Malware besonders gefährlich ist, besteht darin, dass sie häufig Endpunktschutzmaßnahmen wie Firewalls, Intrusion Detection and Prevention-Systeme (IDS/IPS) und andere Sicherheitstools umgehen kann, die auf dateibasierten Signaturen oder Mustervergleichsalgorithmen basieren. Da es außerdem nichts auf die Festplatte schreibt, kann es längere Zeit unentdeckt bleiben und hat eine größere Chance, seine Ziele zu erreichen, bevor es entdeckt wird.

Dateilose Malware wird häufig bei gezielten Angriffen eingesetzt, beispielsweise gegen Finanzinstitute oder andere hochwertige Ziele, bei denen das Ziel darin besteht, Zugriff auf vertrauliche Informationen oder Systeme zu erhalten. Es kann auch für umfassendere Angriffe wie Ransomware-Kampagnen eingesetzt werden, bei denen die Angreifer versuchen, so viele Systeme wie möglich zu infizieren.