Bösartige Edge und Chrome Extensions liefern eine Backdoor

Originalbeitrag von Jaromir Horejsi, Joseph C. Chen und Loseway Lu

Den Sicherheitsforschern von Trend Micro fiel eine Serie von Testübermittlungen bei VirusTotal auf, die von derselben Gruppe von Schadsoftware-Entwicklern aus Moldawien zu kommen schienen, zumindest deuteten die Dateinamen und die Quelle der Übermittlungen darauf hin. Wahrscheinlich arbeiten sie an einer neuen Schadsoftware (JS_DLOADR und W2KM_DLOADR), die sich über Spam-Mail mit einem bösartigen Anhang verbreiten soll.

Auffällig sind die Payloads der Schadsoftware (TROJ_SPYSIVIT.A und JAVA_ SPYSIVIT.A). Die Malware liefert eine Version des Revisit Remote Administration Tools (RAT), mit dessen Hilfe das infizierte System gekapert wird. Des Weiteren besitzt die Schadsoftware eine bösartige Extension, die als Backdoor dienen kann, um so in einem Browser eingegebene Informationen zu stehlen.

Der Missbrauch von legitimen RATs (und der Diebstahl deren Konfigutationen) ist nicht neu. Es gab sie bereits in Spam-Kampagnen mit der TeamSpy Malware, die den TeamViewer dazu missbrauchte, aus der Ferne Systeme unter Kontrolle zu bringen. Die eingesetzten Techniken bleiben eine üble Bedrohung, so etwa wegen des Ausnutzens legitimer APIs und quelloffener Tools wie Chrome WebDriver und Microsoft WebDriver.

Bild: Infektionskette der Schadsoftware

Bei der Analyse der Vielfalt der im DLOADR eingebetteten Dokumente lässt sich aufgrund der Art, wie sie benannt sind, darauf schließen, dass sich die Malware noch in der Entwicklung befindet. Auch lassen sich Rückschlüsse auf die eingesetzten Social Engineering-Techniken ziehen. Die Dokumente sind in bösartige Makros eingebettet. Technische Einzelheiten zur Malware liefert der Originalbeitrag.

Trend Micro hat die Ergebnisse der Analysen an Google und Microsoft weitergegeben und mit den Unternehmen zusammengearbeitet, um sicherzustellen, dass die bösartigen Extensions die Sicherheit von Chrome und Edge nicht beeinflussen. Die Indicators of Compromise (IoCs) sind im Anhang aufgeführt.

Trend Micro-Lösungen

Da die Downloader Malware darauf ausgerichtet ist, Mail als Eintrittspunkt zu nutzen, ist es empfehlenswert, das Mail-Gateway zu schützen. Trend Micro™ Hosted Email Security ist eine wartungsfreie Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing, die neuesten Ransomware-Bedrohungen, einschließlich WannaCry, und komplexe, zielgerichtete Angriffe stoppt, bevor sie Ihr Netzwerk erreichen. Email- und Web Gateway-Lösungen wie Trend Micro™ Deep Discovery™ Email Inspector und InterScan™ Web Security verhindern, dass Malware den Endanwender erreicht. Auf Endpoint-Ebene liefert Trend Micro Smart Protection Suites verschiedene Fähigkeiten wie Verhaltens-Monitoring und Applikationskontrolle sowie Abschirmung von Sicherheitslücken.

Trend Micro XGen™ Security unterstützt all diese Lösungen und liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .