Categories: Cloud

Remote Access Trojaner über gefälschte Webseite der BW-Landesregierung

Das Threat Intelligence Team von Malwarebytes hat eine neue Kampagne entdeckt, die deutsche Privatpersonen mit Updates zur aktuellen Bedrohungslage in der Ukraine lockt. Sie will Besucher der gefälschten Website dazu verführen, ein infiziertes Dokument herunterzuladen. Bei diesem handelt es sich um einen Köder für einen Remote Access Trojaner (RAT), der Daten stehlen und noch weitere bösartige Aktionen auf dem Computer des Opfers ausführen kann.

Die Vorgehensweise der Bedrohungsakteure, die hinter der Kampagne stecken, sah folgendermaßen aus: Sie registrierten einen abgelaufenen deutschen Domainnamen unter collaboration-bw[.]de, der ursprünglich als offizielle Kollaborationsplattform zur Entwicklung neuer Ideen, Initiativen und Innovationen für das Bundesland Baden-Württemberg genutzt wurde.

Die Bedrohungsakteure nutzten die Domain, um eine Webseite zu hosten, die wie die offizielle Webseite der Landesregierung Baden-Württemberg (baden-wuerttemberg.de) aussieht. Mit dieser Nachahmung haben die Angreifer den perfekten Platzhalter für ihren Köder geschaffen: Ein Dokument mit Informationen zur aktuellen Lage in der Ukraine, das sie ihren Opfern über einen auffälligen blauen Button zum Download anbieten.

Sobald die Opfer diese Datei öffnen, erhalten sie eine gefälschte Fehlermeldung. Währenddessen führt PowerShell unbemerkt einen Base64-Befehl aus. Nach der Entschlüsselung des Codes konnte das Threat Intelligence Team von Malwarebytes feststellen, dass der Befehl dazu dient, ein Skript auszuführen, dass von der gefälschten baden-württembergischen Webseite heruntergeladen wurde und Invoke-Expression (IEX) verwendet.

Das heruntergeladene Skript erstellt im aktuellen Benutzerverzeichnis schließlich einen Ordner namens „SecuriyHealthService“ und legt dort zwei Dateien ab: MonitorHealth.cmd und ein Skript namens Status.txt. Die cmd-Datei ist sehr einfach programmiert und führt lediglich Status.txt über PowerShell aus. Das heruntergeladene Skript lässt zudem MonitorHealth.cmd dauerhaft bestehen, indem es eine geplante Aufgabe erstellt, um die Datei jeden Tag zu einer bestimmten Uhrzeit auszuführen.

Roger Homrich

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago