US-Steuerzahler im Visier der NetWire- und Remcos-Trojaner-Angriffswelle

  • Oct 22, 2023

Cyberangreifer wollen aus der diesjährigen Steuersaison Kapital schlagen.

Forscher haben eine aktive Kampagne analysiert, die sich gegen US-Steuerzahler richtete, um sowohl NetWire- als auch Remcos-Trojaner zu verbreiten.

Sicherheit

  • 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
  • So finden und entfernen Sie Spyware von Ihrem Telefon
  • Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
  • So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist

Die Steuersaison steht vor der Tür und da US-Bürger ihre Steuererklärungen vor Ablauf der Frist im April einreichen, ist dies der Fall Auch für Cyberkriminelle ist es der beste Zeitpunkt, Kampagnen zu starten, die darauf zugeschnitten sind, sich das Jahrbuch zunutze zu machen Erfordernis.

Phishing-Kampagnen greifen in der Regel ein bestimmtes Thema auf, es sei denn, es handelt sich lediglich um Massen-Spray-and-Pray-Versuche In dieser Situation wird versucht, eine ausreichende Reaktion hervorzurufen, um ein Opfer dazu zu verleiten, auf einen schädlichen Link zu klicken oder eine mit Malware beladene Datei herunterzuladen Anhang.

Beispiele hierfür sind eine „Betrugswarnung“ einer Bank, Rückzahlungsforderungen für Studiendarlehen oder vorgetäuschte Kriminelle Untersuchungen des IRS oder Mitteilungen seriöser Unternehmen wie PayPal, die vor unbefugtem Zugriff warnen Transaktionen.

Wenn es um die Steuersaison geht, enthalten Phishing-E-Mails zum Thema persönliche Finanzen häufig Inhalte mit Bezug zur Steuererklärung, und genau diesen Haken haben sich die Betreiber der aktiven Kampagne ausgesucht.

Laut einer von Cybereason veröffentlichten Studie am DonnerstagDen Phishing-Nachrichten sind Dokumente beigefügt, die bösartige Makros verwenden, um sowohl NetWire- als auch Remcos-Remote-Access-Trojaner (RATs) einzusetzen.

Proben von Phishing-Dokumenten ergaben, dass der Inhalt nach dem Öffnen unscharf wird und die Opfer gebeten werden, Makros und Bearbeitung zu aktivieren, um den Text anzuzeigen. Wenn sie akzeptieren, legt ein „stark verschleiertes“ Makro eine bösartige .DLL-Nutzlast – einen Dropper für einen der beiden Trojaner – im Verzeichnis /temp ab.

Die .DLL wird dann in die Notepad-Software eingeschleust und die Infektionskette wird mit der Entschlüsselung der Nutzdaten über einen XOR-Schlüssel fortgesetzt, um ausführbaren Code freizugeben. Es wird eine Verbindung zu einem Command-and-Control-Server (C2) hergestellt und der OpenVPN-Client zusammen mit einer seitlich geladenen trojanisierten DLL heruntergeladen, um die Remote-Persistenz aufrechtzuerhalten.

Diese seitlich geladene DLL ist dafür verantwortlich, eine andere DLL zu entpacken, in den Speicher zu laden und in Notepad einzufügen. Anschließend wird ein weiteres Paket vom legitimen Image-Hosting-Dienst imgur abgerufen, und dieses Paket – versteckt in einer Bilddatei in einer Technik namens Steganographie – ist eines von beidem Trojaner.

Zu den RAT-Funktionen von Remcos und NetWire gehören das Erstellen von Screenshots, Keylogging, das Stehlen von Browserprotokollen usw Daten aus der Zwischenablage, Dateisammeln, Diebstahl von Betriebssysteminformationen und die Möglichkeit, weitere Informationen herunterzuladen und auszuführen Schadsoftware.

Die RATs sind sowohl kommerziell in Untergrundforen erhältlich als auch im Rahmen eines günstigen Malware-as-a-Service (MaaS)-Abonnements erhältlich Basis, erhältlich für nur 10 US-Dollar pro Abonnement – ​​wodurch der potenzielle kriminelle Kundenstamm der Trojaner-Varianten erhalten bleibt groß.

„Der Einsatz verschiedener Techniken wie Steganographie, das Speichern von Nutzlasten auf legitimen Cloud-basierten Diensten und die Ausnutzung von DLL.“ „Das Querladen gegen eine legitime Software macht es sehr schwierig, diese Kampagnen zu erkennen“, kommentierte Assaf Dahan, Leiter von Cybereason Bedrohungsforschung. „Die von den Opfern gesammelten sensiblen Informationen können in den Untergrundgemeinschaften verkauft und für alle Arten von Identitätsdiebstahl und Finanzbetrug verwendet werden.“

Bisherige und verwandte Berichterstattung

  • Schädliche Apps auf Google Play haben Banking-Trojaner auf Benutzergeräten abgelegt
  • Symboldateien werden in Malspam zur Verbreitung des NanoCore-Trojaners missbraucht
  • 2020 war ein „Rekordjahr“ bei Hacks und Sicherheitsverstößen in US-Schulen

Haben Sie einen Tipp? Sicher über WhatsApp in Kontakt treten | Signal unter +447713 025 499 oder über Keybase: charlie0