Einführung
Eine Malware-Kampagne verwendet gefälschte PDF-zu-DOCX-Konverter als Angriffsvektor, um bösartige PowerShell-Befehle auf Rechner einzuschleusen. Dies ermöglicht den Angreifern den Zugriff auf Krypto-Wallets, das Hijacking von Browser-Anmeldedaten und den Diebstahl sensibler Informationen.
Untersuchung und Erkenntnisse
Nach einer Warnung des FBI im letzten Monat hat das Sicherheitsforschungsteam von CloudSEK eine Untersuchung durchgeführt, die Einblicke in diese Angriffe bietet. Das Ziel dieser Kampagne ist es, die Benutzer zu täuschen, indem sie einen PowerShell-Befehl ausführen, der die Arechclient2-Malware installiert, eine Variante von SectopRAT, einer Familie von Informationsdieben, die dafür bekannt ist, sensible Daten der Opfer zu ernten.
Betrügerische Websites
Die bösartigen Websites geben sich als die legitime Datei-Konvertierungssoftware PDFCandy aus, laden jedoch nicht die echte Software herunter, sondern die Malware. Diese Seiten weisen Ladebalken und sogar CAPTCHA-Verifikationen auf, um ein falsches Gefühl von Sicherheit zu vermitteln.
Malware-Infektion
Letztendlich lädt der Rechner des Opfers nach mehreren Weiterleitungen eine Datei namens “adobe.zip” herunter, die die schädliche Nutzlast enthält. Dadurch wird das Gerät für einen Remote Access Trojaner (RAT) anfällig, der seit 2019 aktiv ist. Dies lässt die Benutzer anfällig für Datendiebstahl, einschließlich Browser-Anmeldedaten und Informationen zu Kryptowährungs-Wallets.
Technische Details und Expertentipps
Die Malware überprüft Erweiterungs-Stores, stiehlt Seed-Phrasen und zapft sogar Web3-APIs an, um Vermögenswerte nach Genehmigung abzuziehen, erklärte Stephen Ajayi, Technischer Leiter bei Dapp Audit der Blockchain-Sicherheitsfirma Hacken, gegenüber Decrypt.
CloudSEK riet den Nutzern, Antivirus- und Antimalware-Software einzusetzen und “Dateitypen über nur die Erweiterung hinaus zu überprüfen, da bösartige Dateien oft als legitime Dokumenttypen maskiert sind.”
Darüber hinaus empfiehlt die Cybersecurity-Firma, sich auf “vertrauenswürdige, seriöse Datei-Konvertierungstools von offiziellen Websites zu verlassen, anstatt nach ‘kostenlosen Online-Dateikonvertern’ zu suchen” und in Erwägung zu ziehen, “Offline-Konvertierungstools zu nutzen, die kein Hochladen von Dateien auf externe Server erfordern.”
Ajayi von Hacken mahnte Krypto-Nutzer, sich bewusst zu sein: “Vertrauen ist ein Spektrum, es wird verdient, nicht gegeben. In der Cybersicherheit sollte man annehmen, dass nichts standardmäßig sicher ist.”
Er fügte hinzu, dass Nutzer “eine Nullvertrauenshaltung einnehmen und ihren Sicherheits-Stack ständig aktualisieren sollten, insbesondere EDR- und AV-Tools, die Verhaltensanomalien wie bösartige msbuild.exe-Aktivitäten erkennen können.” Ajayi bemerkte: “Angreifer entwickeln sich ständig weiter, und das sollten Verteidiger auch.”
Er betonte die Notwendigkeit von regelmäßigen Schulungen, situativer Bewusstheit und strengen Erkennungskontrollen und riet: “Bleiben Sie skeptisch, bereiten Sie sich auf Worst-Case-Szenarien vor und halten Sie immer ein getestetes Notfallreaktionsspielbuch bereit.”
