{"id":224507,"date":"2019-11-01T05:43:18","date_gmt":"2019-11-01T04:43:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224507"},"modified":"2021-09-02T09:33:04","modified_gmt":"2021-09-02T07:33:04","slug":"spam-verteilt-per-autoit-gepackten-trojaner","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/01\/spam-verteilt-per-autoit-gepackten-trojaner\/","title":{"rendered":"Spam verteilt per AutoIt gepackten Trojaner"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Sicherheitsforscher von Trend Micro sind jetzt auf eine besondere Malware-Kampagne gesto\u00dfen. Ein Trojaner, der mit AutoIt kompiliert wurde, wird \u00fcber Spam-Mails an Windows-Systeme verteilt. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/e034a9f180fc46efabcd2bd63433d74b\" width=\"1\" height=\"1\"\/><a href=\"https:\/\/www.autoitscript.com\/autoit3\/docs\/introduction.htm\" target=\"_blank\" rel=\"noopener noreferrer\">AutoIT<\/a> ist eine Scripting-Sprache, die urspr\u00fcnglich f\u00fcr die Automatisierung von Basisaufgaben in Windows-Oberfl\u00e4chen gedacht war. AutoIt wurde schon \u00f6fters von Cyberkriminellen f\u00fcr die Verschleierung von Malware missbraucht. Ich bin die Tage \u00fcber einen Tweet im Twitter-Kanal von Trend Micro-Deutschland auf diesen aktuellen Fund aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"de\" dir=\"ltr\">Trend Micro entdeckt Spam-Kampagne mit AutoIT kompilierten Payloads, d.h. Spionagetrojaner und RAT \u2013 vermutlich um nach der Erkundung destruktivere (lukrativere) Payloads wie Ransomware einzusetzen <a href=\"https:\/\/t.co\/jqJGYnKAoP\">https:\/\/t.co\/jqJGYnKAoP<\/a> ^RW <a href=\"https:\/\/twitter.com\/hashtag\/threat?src=hash&amp;ref_src=twsrc%5Etfw\">#threat<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/cybercrime?src=hash&amp;ref_src=twsrc%5Etfw\">#cybercrime<\/a> <a href=\"https:\/\/t.co\/025X5jWEti\">pic.twitter.com\/025X5jWEti<\/a><\/p>\n<p>\u2014 Trend Micro Deutschland (@TrendMicroDE) <a href=\"https:\/\/twitter.com\/TrendMicroDE\/status\/1189466976034394112?ref_src=twsrc%5Etfw\">October 30, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>In <a href=\"http:\/\/blog.trendmicro.de\/mit-autoit-kompilierte-trojaner-kommen-ueber-spam\/?linkId=76107110\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> legen die Sicherheitsforscher von Trend Micro weitere Details offen. Entdeckt wurde das Ganze k\u00fcrzlich durch einen Fund in einem Honeypot des Unternehmens. Die per Spam verteilte Malware beinhaltet mit AutoIT kompilierte Payloads. Es handelt sich dabei um den Spionagetrojaner Negasteal oder Agent Tesla (<a href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/threat-encyclopedia\/malware\/TrojanSpy.Win32.NEGASTEAL.DOCGC\" target=\"_blank\" rel=\"noopener noreferrer\">TrojanSpy.Win32.NEGASTEAL.DOCGC<\/a>) und einen Remote Access Trojaner (RAT) Ave Maria oder Warzone (<a href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/threat-encyclopedia\/malware\/TrojanSpy.Win32.AVEMARIA.T\" target=\"_blank\" rel=\"noopener noreferrer\">TrojanSpy.Win32.AVEMARIA.T<\/a>). Trend Micr schreibt dazu:<\/p>\n<blockquote>\n<p>Das Upgrade von Payloads von einem typischen Spionagetrojaner auf einen heimt\u00fcckischeren RAT k\u00f6nnte ein Indiz daf\u00fcr sein, dass die cyberkriminellen Hinterm\u00e4nner dazu \u00fcbergehen wollen, destruktivere (und lukrativere) Payloads wie Ransomware nach der Erkundung einzusetzen.<\/p>\n<p>Die Kampagne umfasst mit AutoIT kaschierte <a href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/cybercrime-and-digital-threats\/malicious-spam-campaign-uses-iso-image-files-to-deliver-lokibot-and-nanocore\">ISO Image-Dateien<\/a> sowie als RAR und LZH komprimierte Archiv-Anh\u00e4nge, die dazu beitragen sollen, der Entdeckung zu entgehen. Vor allem ISO Images k\u00f6nnen dazu genutzt werden, Spam-Filter zu vermeiden. Auch l\u00e4sst sich das Dateiformat auf den neueren Windows-Versionen einfacher mounten. <\/p>\n<\/blockquote>\n<p>Zudem stellten die Forscher fest, dass die Spam-Kampagne \u00fcber eine m\u00f6glicherweise kompromittierte Webmail-Adresse verschickt wurde. Die Malware wurde \u00fcber Anh\u00e4nge von Spam-Mails verbreitet. Die Spam-Mails benutzten eine gef\u00e4lschte Versandanzeige und ein vorgebliches finanzielles Dokument. Hier ein Beispiel einer solchen Spam-Mail einer angeblichen Versandbenachrichtigung von DHL.<br \/><a href=\"https:\/\/web.archive.org\/web\/20191101161350\/https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/files\/2019\/10\/malspam1-copy.jpg\"><br \/><img loading=\"lazy\" decoding=\"async\" border=\"0\" alt=\"\" src=\"https:\/\/web.archive.org\/web\/20191101161350\/https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/files\/2019\/10\/malspam1-copy.jpg\" width=\"470\" height=\"423\"\/><\/a>(Quelle: Trend Micro)<\/p>\n<p>Der Sch\u00e4dling findet sich im RAR-Anhang dieser Spam-Mail. Der heruntergeladene b\u00f6sartige Anhang extrahiert dann die mithilfe von AutoIT kaschierten Sch\u00e4dlingsarten von Negasteal und Ave Maria. Weitere Details zur Malware lassen sich bei <a href=\"http:\/\/blog.trendmicro.de\/mit-autoit-kompilierte-trojaner-kommen-ueber-spam\/?linkId=76107110\" target=\"_blank\" rel=\"noopener noreferrer\">Trend Micro nachlesen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher von Trend Micro sind jetzt auf eine besondere Malware-Kampagne gesto\u00dfen. Ein Trojaner, der mit AutoIt kompiliert wurde, wird \u00fcber Spam-Mails an Windows-Systeme verteilt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,1107],"class_list":["post-224507","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224507","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224507"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224507\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224507"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224507"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224507"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}