IT-Sicherheitsforscher von Secureworks haben mit der Bumblebee-Malware infizierte Installer entdeckt, die beliebte Software aus dem professionellen Umfeld einrichten sollen. Diese trojanisierten Installationspakete würden mittels SEO-Poisoning und Malvertising beworben und damit erfolgreich auf Opfersuche gehen. SEO-Poisoning bezeichnet einen Angriff auf Suchmaschinen. Die zeigen dadurch in der Trefferliste bei der Suche die Seiten von Cyberkriminellen ganz weit vorn an. Das lockt Opfer auf gefälschte Download-Seiten, die die Schadsoftware mit dem regulären Installer gebündelt verteilen. Zudem würden in Google Ads bösartige Werbungen eingeschleust, die auf die Malware verweisen. Um keinen Verdacht zu erregen, nutzten die Täter an die regulären Namen angelehnte Domain-Namen; ein Beispiel für eine bösartige Quelle ist etwa appcisco .com. Die infizierten Installationsprogramme betreffen zumeist populäre Business-Software, etwa Zoom, Cisco AnyConnect, ChatGPT oder Citrix Workspace, führen die IT-Forscher von Secureworks in ihrer Warnung aus. Trojanisierte Installer für Software zu verteilen, die ein derzeit populäres Thema behandeln, etwa ChatGPT, oder üblicherweise von Remote-Arbeitenden eingesetzt werden, erhöhe die Wahrscheinlichkeit neuer Infektionen. Bei Bumblebee handele es sich um einen modularen sogenannten Loader, der weitere Schadkomponenten nachlädt. Bislang sei der primär mittels Phishing-Kampagnen verteilt worden, um oftmals Schadcode nachzuladen, der mit Ransomware in Verbindung stehe. Ein jetzt von den IT-Sicherheitsforschern untersuchtes Sample stammt von der vorgenannten Quelle. Die Cyberkriminellen haben Mitte Februar herum eine gefälschte Download-Seite für Cisco AnyConnect Secure Mobility Client v4.x erstellt. Diese habe Opfer mit einer bösartigen Google-Ads-Werbung, die auf eine kompromittierte WordPress-Webseite zeigte und auf die Zielseite weiterleitete, auf die gefälschte Download-Seite gelockt. Der Installer von der Webseite enthält zwei Dateien: einmal den echten Installer als FILE_InstallMeCisco
, der bei der Ausführung nach %Temp%\Package Installation Dir\CiscoSetup.exe
entpackt wird, sowie FILE_InstallMeExe
, das in dem Verzeichnis als cisco2.ps1
-Powershell-Skript landet. Das Skript enthält einige umbenannte Funktionen aus ReflectivePEInjection.ps1
aus der Powersploit-Sammlung. Mit denen lädt es den ebenfalls enthaltenen, verschleierten Bumblebee-Loader in den Speicher. Powersploit ist ein auf Github gehostetes „PowerShell Post-Exploitation Framework“, etwa ähnlich Metasploit. Die Secureworks-Mitarbeiter beobachteten, wie Angreifer drei Stunden nach der Infektion „laterale Bewegungen“ starteten und sich im Rechner mit Cobalt Strike und legitimer Fernwartungssoftware wie AnyDesk und DameWare einnisteten. Mit dem Taskmanager haben sie Cobalt Strike verankert. Im Verzeichnis C:\ProgramData
haben die Cyber-Einbrecher weitere Skripte, etwa zum vemutlichen „Kerberoasting“ (stehlen oder fälschen von Kerberos-Tickets), zum Kopieren der Inhalte der Active-Directory-Datenbank und einen Netzwerkscanner platziert. Im konkreten Fall hat an dieser Stelle der Netzwerkschutz zugeschlagen und den Zugriff der Angreifer unterbunden, bevor sie weiteren Schaden wie das Aktivieren einer Ransomware anrichten konnten. Die IT-Forscher empfehlen, dass Organisationen sicherstellen sollten, dass Software-Installer und -Updates ausschließlich von bekannten und vertrauenswürdigen Webseiten heruntergeladen werden. Nutzer sollten keine Berechtigungen zum Installieren von Software oder Starten von Skripten auf ihren Rechnern erhalten. Dabei könnten Werkzeuge wie Microsofts AppLocker helfen – selbst, wenn Anwender Schadsoftware herunterladen, hindert sie das an deren Ausführung. Malvertising wird zunehmend zum Problem. Im Februar warnten IT-Sicherheitsforscher bereits, dass eine Zunahme an verseuchten Installern von populärer Software zu beobachten sei.