WhatsApp-Malware-Kampagne installiert Backdoors
Microsoft warnt vor einer Malware-Kampagne, die über WhatsApp-Nachrichten bösartige Software ausliefert und Systeme kompromittiert.
Sicherheitsprobleme betreffen den WhatsApp-Desktop.
(Bild: heise medien)
Microsoft hat eine Malware-Kampagne beobachtet, bei der Angreifer VBS-Dateien (Visual Basic Script) in WhatsApp-Nachrichten versenden. Führen Opfer diese aus, löst das eine mehrstufige Infektionskette aus, an deren Ende die Angreifer Fernzugriff erhalten und sich im System einnisten. Besonders gefährdet sind Nutzer und Nutzerinnen der WhatsApp-Desktop-Version unter Windows, da die bösartigen Skripte sich dort ohne Umwege ausführen lassen.
In einem Blog-Beitrag warnt das Microsoft-Defender-Securityteam vor dieser Kampagne, die Ende Februar ihren Anfang nahm. Die Angreifer setzen dazu auf Social Engineering und sogenannte „Living-off-the-land“-Techniken (auch unter dem Kürzel „LOLbins“ bekannt), nutzen also vom Betriebssystem mitgelieferte ausführbare Dateien für den Angriff. Die am Ende installierte Malware im MSI-Format (Microsoft Installer) kommt schließlich aus der Cloud.
WhatsApp als Einstiegspunkt der Angriffskette
Beispiele von beobachteten Nachrichten nennen die IT-Forensiker nicht, erklären jedoch, dass die bösartigen VBS-Dateien als WhatsApp-Nachrichten bei den Opfern landen und somit das Vertrauen in die bekannte Kommunikationsplattform missbraucht werde. Bei der Ausführung legt das Skript versteckte Ordner unter „C:\ProgramData“ an und speichert dort umbenannte Versionen legitimer Windows-Werkzeuge wie „curl.exe“ – in „netapi.dll“ umbenannt – oder „bitsadmin.exe“ als „sc.exe“.
Beim nächsten Schritt lädt die Malware mit den umbenannten Binärdateien weitere Dropper wie „auxs.vbs“ und „WinUpdate_KB5034231.vbs“ aus oftmals als vertrauenswürdig eingestuften Cloudspeichern wie AWS S3, der Tencent Cloud oder Backblaze B2 nach. Das verschleiert die bösartigen Aktivitäten als legitimen Netzwerkverkehr, erklären die Microsoft-Mitarbeiter.
Nach dem Herunterladen verändert die Malware Einstellungen der Benutzerkontensteuerung, um durch das Deaktivieren von UAC-Prompts die Verteidigungsmechanismen des Windows-Systems zu schwächen. Es startet wiederholt die Eingabeaufforderung „cmd.exe“ mit erhöhten Rechten, bis die Rechteerhöhung funktioniert hat oder der Prozess gewaltsam abgebrochen wurde. Durch Veränderungen von Registry-Einträgen unter „HKLM\Software\Microsoft\Win“ verankert sich der Schadcode und erreicht Persistenz über Reboots hinweg.
Die darauffolgende letzte Stufe lädt unsignierte MSI-Installer mit Namen wie Setup.msi, WinRAR.msi, LinkPoint.msi und AnyDesk.msi nach. Die enthalten Fernsteuerungssoftware wie AnyDesk und ermöglichen Angreifern nachhaltigen Fernzugriff zum Ausleiten von Daten, Installieren weiterer Malware oder zum Missbrauch kompromittierter Maschinen als Teil eines größeren Netzwerks infizierter Geräte, führen die Analysten aus. Insbesondere in Unternehmensumgebungen sind solche MSI-Installer für die Softwareverwaltung typisch und sollen so unter dem Radar bleiben.
Interessierte finden in der Analyse Tipps und Hinweise, wie IT-Verantwortliche ihre Netzwerke vor solchen Angriffen schützen können. Dazu gehört das Blockieren von Scripting-Hosts auf Endpoints oder die Überwachung von Cloud-Traffic, aber auch die Mitarbeitersensibilisierung.
Videos by heise
Nutzer und Nutzerinnen von populären Messengern, insbesondere herausragende Persönlichkeiten oder höherrangige Beamte und Politiker, stehen in jüngerer Zeit oftmals im Visier von Angreifern. Etwa Ende vergangenen Jahres haben Cyberkriminelle mit ausgefeilten Social-Engineering-Taktiken versucht, Zugriff auf die Messenger-Apps potenzieller Opfer zu erlangen und diese so auszuspähen. Insbesondere bei Nachrichten von Unbekannten ist daher besondere Vorsicht angebracht.
(dmk)
