DownEx-malware gebruikt in spionagecampagne

Een nieuw type malware genaamd DownEx is ontdekt door Roemeense cybersecurity-onderzoekers.

Het wordt gebruikt in een geavanceerde spionagecampagne die gericht is op overheidsorganisaties in Centraal-Azië, met aanwijzingen voor de betrokkenheid van in Rusland gevestigde dreigingsactoren. De aanvallen worden uitgevoerd via spear-phishing-e-mails die een boobytrap bevatten, die is vermomd als een Microsoft Word-bestand.

Zodra de bijlage is geopend, wordt een lokaasdocument weergegeven terwijl op de achtergrond een schadelijke HTML-toepassing wordt uitgevoerd. Dit HTA-bestand is ontworpen om contact te maken met een externe command-and-control-server om een volgende-fase-payload op te halen, waarvan wordt aangenomen dat het een achterdeur is voor het tot stand brengen van persistentie. De aanvallers gebruiken ook aangepaste tools voor post-exploitatieactiviteiten, waaronder op C/C++ gebaseerde binaire bestanden om netwerkbronnen op te sommen, een Python-script om instructies te ontvangen om bestanden te stelen, andere malware te verwijderen en screenshots te maken, en een op C++ gebaseerde malware genaamd DownEx om bestanden naar de C2-server te exfiltreren.

Er zijn ook nog twee andere varianten van DownEx ontdekt. Onderzoekers merkten verder op dat dit een bestandsloze aanval is, wat betekent dat het kwaadaardige script alleen in het geheugen bestaat en nooit op de schijven van het slachtoffer terechtkomt.

Wat is bestandsloze malware en wat maakt het bijzonder gevaarlijk?

Fileless malware is een soort schadelijke software die actief is in het geheugen van een computer, zonder sporen achter te laten op de harde schijf. Dit maakt het bijzonder moeilijk te detecteren en te verwijderen met behulp van traditionele antivirussoftware, omdat er geen bestanden zijn om te scannen. In plaats van te vertrouwen op een bestand of uitvoerbaar bestand, wordt bestandsloze malware vaak geleverd via technieken zoals social engineering, exploits of kwaadaardige macro's in documenten.

Een van de belangrijkste kenmerken van bestandsloze malware is dat het legitieme programma's of tools gebruikt die al op het systeem aanwezig zijn, zoals PowerShell of Windows Management Instrumentation (WMI), om zijn kwaadaardige activiteiten uit te voeren. Hierdoor kan bestandsloze malware opgaan in legitieme systeemactiviteit en detectie door traditionele antivirussoftware omzeilen.

Een andere reden waarom bestandsloze malware bijzonder gevaarlijk is, is dat het vaak beschermingsmaatregelen voor eindpunten kan omzeilen, zoals firewalls, systemen voor inbraakdetectie en -preventie (IDS/IPS) en andere beveiligingstools die afhankelijk zijn van op bestanden gebaseerde handtekeningen of algoritmen voor het matchen van patronen. Bovendien kan het, omdat het niets naar de schijf schrijft, voor langere tijd onopgemerkt blijven en heeft het een grotere kans om zijn doelstellingen te bereiken voordat het ontdekt wordt.

Fileless malware wordt vaak gebruikt bij gerichte aanvallen, zoals die tegen financiële instellingen of andere hoogwaardige doelwitten, waarbij het doel is om toegang te krijgen tot gevoelige informatie of systemen. Het kan ook worden gebruikt voor meer wijdverbreide aanvallen, zoals ransomware-campagnes, waarbij aanvallers zoveel mogelijk systemen willen infecteren.