Angriffe mit KI-generiertem Schadcode in angeblichen Metro-Rechnungen

IT-Sicherheitsforscher haben eine Malware-Kampagne mit gefälschten Metro-Rechnungen entdeckt, die auf deutsche Unternehmen zielt.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Stilisiertes Bild: Spam und Malware kommen aus dem Rechner

Cyberkriminelle greifen deutsche Unternehmen mit gefälschten Metro-Mails an.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Von

Die Infostealer-Malware Rhadamanthys verteilen Cyberkriminelle der Gruppierung TA547 in einer aktuellen Kampagne. Die kriminelle Vereinigung greift gezielt deutsche Unternehmen mit gefälschten Metro-Rechnungen an. Das Besondere an der Kampagne ist, dass Teile der Malware offenbar mit KI, einem Large Language Model etwa wie ChatGPT und Konsorten, erstellt wurden.

Die Malware Rhadamanthys versucht die APT-Gruppe TA547 mit gefälschten Metro-Mails zu verteilen.

(Bild: Proofpoint)

Proofpoints Analyse zufolge nutzen die Angreifer glaubwürdige Absenderadressen, jedoch seit Langem verdächtige Betreffzeilen wie "Rechnung No:31518562". Der Dateianhang der Mails ist Passwort-geschützt und hat kryptische Namen, etwa "in3 0gc-(94762)_6563.zip". Derartige Mails seien an dutzende Organisationen quer durch unterschiedliche Industriezweige verteilt worden.

In dem ZIP-Archiv findet sich eine .lnk-Datei. Beim Starten öffnet sie Powershell und weist diese an, ein Powershell-Skript aus dem Netz auszuführen. Das Skript wiederum dekodiert die Base64-kodierte Rhadamanthys-Malware aus einer Variable, lädt sie in den Speicher und springt in den Einstiegspunkt der Schadsoftware. Dadurch läuft der Schadcode ausschließlich im Speicher, ohne, dass er auf ein Laufwerk geschrieben würde.

In dem zweiten Powershell-Skript finden sich Eigenschaften, die üblicherweise nicht im Code von kriminellen Tätern oder legitimen Programmierern zu finden sind. Im vorliegenden Fall enthielt das Skript etwa das Doppelkreuz-Symbol, gefolgt von grammatikalisch korrekten und sehr speziellen Kommentaren über jeder Komponente des Skripts.

Proofpoints Analysten schreiben, dass dies ein typischer Output von LLM-generierten Programminhalten sei. Das lege nahe, dass TA547 Werkzeuge mit LLM-Unterstützung zum Schreiben oder Umschreiben des Powershell-Skripts genutzt haben. Oder dass sie das Skript von einer anderen Quelle kopiert haben, die künstliche Intelligenz zur Programmierung genutzt hat. Es sei schwer zu belegen, dass bösartige Inhalte mit KI erstellt wurden, jedoch gibt es charakteristische Hinweise in solchen Inhalten, die auf maschinenerstellte anstatt auf von Menschen produzierte Informationen deuten.

TA547 sind eine finanziell motivierte Cybergang, die als Initial Access Broker (IAB) in diversen Regionen agieren. Neben Deutschland ist sie etwa in Ă–sterreich, in der Schweiz, in Spanien oder den USA aktiv. Sie hat auch andere Malware verteilt, etwa NetSupport RAT, StealC oder Lumma Stealer.

In der Analyse listen Proofpoints IT-Forensiker noch Indicators of Compromise (IOCs) auf. Anhand dieser Hinweise können Interessierte schauen, ob sie Opfer dieser Malware geworden sind.

KI-gestĂĽtzte Malware und Phishing-Angriffe werden seit einigen Monaten beobachtet. Die KI-Nutzung durch Cyberkriminelle scheint sich nun weiter auszubreiten.

Update

Den Hinweis auf eine vermeintliche Diskrepanz zwischen "Pound-Sign" und "#" im Text entfernt. Das Doppelkreuz wird im Englischen gelegentlich auch als Pound-Sign bezeichnet (ĂĽblicher ist "Number sign"), was vorrangig mit dem Pfund-Symbol (ÂŁ) verknĂĽpft ist.

(dmk)