{"id":265385,"date":"2022-05-16T15:17:07","date_gmt":"2022-05-16T13:17:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265385"},"modified":"2022-08-15T11:35:59","modified_gmt":"2022-08-15T09:35:59","slug":"fake-webseite-von-part-of-the-lnd-landesregierung-baden-wrttemberg-verteilt-trojaner","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/16\/fake-webseite-von-part-of-the-lnd-landesregierung-baden-wrttemberg-verteilt-trojaner\/","title":{"rendered":"Fake-Webseite von "Part of THE LÄND" (Landesregierung Baden-Württemberg) verteilt Trojaner"},"content":{"rendered":"

\"SicherheitDas Threat Intelligence Team von Malwarebytes hat einen Remote Access Trojaner entdeckt, der auf deutsche Personen abzielt, die sich zur aktuellen Lage in der Ukraine informieren wollen. K\u00f6der ist eine nach wie vor aktive, gef\u00e4lschte Webseite, vorgeblich von der Landesregierung Baden-W\u00fcrttemberg. Die Seite verf\u00fchrt Menschen dazu, die infizierte Datei 2022-Q2-Bedrohungslage-Ukraine herunterzuladen.<\/p>\n

<\/p>\n

ie Abh\u00e4ngigkeit von russischer Energie ist nur eines von vielen Themen, mit denen sich die Bev\u00f6lkerung in Europa und Deutschland aktuell besch\u00e4ftigt. Die wachsenden Sorgen vor den Auswirkungen des Ukraine-Kriegs f\u00fchren nicht nur zu einem hohen Bed\u00fcrfnis, sich \u00fcber die aktuelle Lage in der Ukraine zu informieren, sondern auch zu einem erh\u00f6hten Informationsfluss. <\/p>\n

Das Threat Intelligence Team<\/a> von Malwarebytes hat in diesem Zusammenhang eine neue Kampagne entdeckt, die genau diese Situation ausnutzt. Sie lockt deutsche Privatpersonen mit Updates zur aktuellen Bedrohungslage in der Ukraine \u2013 und verf\u00fchrt sie auf diese Weise dazu, ein infiziertes Dokument herunterzuladen. Bei diesem handelt es sich um einen K\u00f6der f\u00fcr einen Remote Access Trojaner (RAT), der Daten stehlen und noch weitere b\u00f6sartige Aktionen auf dem Computer des Opfers ausf\u00fchren kann. <\/p>\n

\"Der
Der K\u00f6der: eine gef\u00e4lschte Webseite der Landesregierung Baden-W\u00fcrttemberg; Quelle: Malwarebytes <\/p>\n

Die Vorgehensweise der Bedrohungsakteure, die hinter der Kampagne stecken, sah folgenderma\u00dfen aus: Sie registrierten einen abgelaufenen deutschen Domainnamen unter collaboration-bw[.]de, der urspr\u00fcnglich als offizielle Kollaborationsplattform zur Entwicklung neuer Ideen, Initiativen und Innovationen f\u00fcr das Bundesland Baden-W\u00fcrttemberg genutzt wurde. <\/p>\n

Die Bedrohungsakteure nutzten die Domain, um eine Webseite zu hosten, die wie die offizielle Webseite der Landesregierung Baden-W\u00fcrttemberg (baden-wuerttemberg.de) aussieht. Mit dieser Nachahmung haben die Angreifer den perfekten Platzhalter f\u00fcr ihren K\u00f6der geschaffen: Ein Dokument mit Informationen zur aktuellen Lage in der Ukraine, das sie ihren Opfern \u00fcber einen auff\u00e4lligen blauen Button zum Download anbieten. <\/p>\n

\"Fake-Seite,
Fake-Seite, Quelle: Malwarebytes<\/p>\n

Analyse der ZIP-Datei<\/h2>\n

Die Archivdatei mit dem Namen \u201e2022-Q2-Bedrohungslage-Ukraine\" enth\u00e4lt eine Datei mit dem Namen \u201e2022-Q2-Bedrohungslage-Ukraine.chm\". Beim CHM-Format handelt es sich um eine Hilfedatei von Microsoft, die aus einer Reihe von komprimierten HTML-Dateien besteht.<\/p>\n

\"Fehlermeldung;
Fehlermeldung; Quelle: Malwarebytes<\/p>\n

Sobald die Opfer diese Datei \u00f6ffnen, erhalten sie eine gef\u00e4lschte Fehlermeldung. W\u00e4hrenddessen f\u00fchrt PowerShell unbemerkt einen Base64-Befehl aus. <\/p>\n

Nach der Entschl\u00fcsselung des Codes konnte das Threat Intelligence Team von Malwarebytes feststellen, dass der Befehl dazu dient, ein Skript auszuf\u00fchren, dass von der gef\u00e4lschten baden-w\u00fcrttembergischen Webseite heruntergeladen wurde und Invoke-Expression (IEX) verwendet. <\/p>\n

Das heruntergeladene Skript erstellt im aktuellen Benutzerverzeichnis schlie\u00dflich einen Ordner namens \u201eSecuriyHealthService\" und legt dort zwei Dateien ab: MonitorHealth.cmd und ein Skript namens Status.txt. Die cmd-Datei ist sehr einfach programmiert und f\u00fchrt lediglich Status.txt \u00fcber PowerShell aus. Das heruntergeladene Skript l\u00e4sst zudem MonitorHealth.cmd dauerhaft bestehen, indem es eine geplante Aufgabe erstellt, um die Datei jeden Tag zu einer bestimmten Uhrzeit auszuf\u00fchren. <\/p>\n


Quelle: Malwarebytes <\/p>\n

PowerShell-RAT (Status.txt) sammelt Informationen<\/h2>\n<\/p>\n

Bei Status.txt handelt es sich um einen in PowerShell geschriebenen RAT. Der Trojaner beginnt seine Aktivit\u00e4ten mit dem Sammeln einiger Informationen \u00fcber den Computer seines Opfers, zum Beispiel den aktuellen Benutzernamen, das Arbeitsverzeichnis oder den Hostname des Computers. Zudem erstellt der Trojaner eine eindeutige ID f\u00fcr sein Opfer, die clientid. Die Daten werden in Form einer JSON-Datenstruktur exfiltriert, die \u00fcber eine POST-Anfrage an den Server gesendet wird. <\/p>\n

Bevor das Skript diese Anfrage ausf\u00fchrt, umgeht es jedoch zun\u00e4chst die Windows Antimalware Scan Interface (AMSI<\/a>) mit einer AES-verschl\u00fcsselten Funktion namens \u201ebypass\". Sie wird vor der Ausf\u00fchrung mit einem generierten Schl\u00fcssel und einem Initialisierungsvektor (IV) entschl\u00fcsselt. Der RAT hat die folgenden F\u00e4higkeiten: <\/p>\n