Spezialisten haben eine neue Cybercrime-Kampagne aufgedeckt, die Excel-Tabellen missbraucht, um fiese Trojaner zu verbreiten.

Cybersicherheitsforscher der Morphisec Labs warnten den russischen Bedrohungsakteur FIN7 (auch bekannt als Carbanak), der einen kleinen und leichtgewichtigen Remote Access Trojaner (RAT), eine Variation von JSSLoader, per E-Mail per XLL- und XLM-Dateien verbreitet.

Diese Dateien verfügen über integrierte Plugins, die es Angreifern unter anderem ermöglichen, Daten durchsickern zu lassen, Persistenz am Ziel- und Endpunkt herzustellen und der RAT zu signalisieren, automatische Updates durchzuführen.

Fliege unter dem Radar

Diese spezielle RAT gibt es seit Dezember XNUMX. In dieser Kampagne versuchen die Angreifer jedoch, eine nicht signierte Datei zu liefern, was bedeutet, dass Excel eine klare Warnung anzeigt, dass das Ausführen der Datei riskant ist.

Wissenschaftler erklären, dass diese XLL-Dateien, wenn sie vom Opfer aktiviert werden, bösartigen Code verwenden, der in der xlAutoOpen-Funktion gefunden wird, sich selbst in den Speicher laden und dann Malware der zweiten Stufe von einem Remote-Server herunterladen.

Danach verwenden sie einen API-Aufruf, um den Prozess auszuführen.

Obwohl es genau den gleichen Ausführungsablauf hat, unterscheidet sich diese Variante von JSSLoader ein wenig von den vorherigen, da sie den Namen jeder einzelnen Funktion und Variablen ändern kann, um unter dem Radar von Antivirenprogrammen und zu bleiben andere Sicherheitslösungen.

Es teilt auch Strings in Teilstrings auf und verkettet sie zur Laufzeit, um die Erkennung durch stringbasierte YARA-Regeln weiter zu umgehen.

Diese neuen Methoden zur Umgehung der Erkennung sowie die Art und Weise, wie die Nutzlast bereitgestellt wird, reichen aus, um die RAT von den meisten Antiviren- und Endpunktschutzlösungen fernzuhalten, fügte Morphisec hinzu.

FIN7 kann es für Tage oder sogar Wochen für unerbittliche seitliche Bewegungen über das kompromittierte Netzwerk verwenden, bevor es entdeckt wird, sagte das Unternehmen.

Der Bedrohungsakteur ist ein teilweise kreatives kriminelles Ensemble, das zuletzt im Januar XNUMX für Schlagzeilen sorgte, als bekannt wurde, dass sie schädliche USB-Sticks an Opfer verschickten.

Via: BleepingComputer

Teilen Sie es