MÜNCHEN (IT BOLTWISE) – Eine neu entdeckte Phishing-Kampagne nutzt fortschrittliche Techniken, um den Remcos Remote Access Trojaner (RAT) auf Windows-Systemen zu verbreiten. Dabei wird ein UAC-Bypass eingesetzt, um Sicherheitskontrollen zu umgehen.
In der Welt der Cybersecurity gibt es ständig neue Bedrohungen, die Unternehmen und Privatpersonen gleichermaßen gefährden. Eine kürzlich identifizierte Phishing-Kampagne zeigt, wie raffiniert Angreifer vorgehen können, um Schadsoftware wie den Remcos Remote Access Trojaner (RAT) zu verbreiten. Diese Kampagne nutzt den DBatLoader und eine Technik zum Umgehen der Benutzerkontensteuerung (UAC) von Windows, um Sicherheitsmechanismen zu umgehen und unbemerkt zu bleiben.
Der Angriff beginnt mit einer Phishing-E-Mail, die ein Archiv mit dem DBatLoader enthält. Dieser Loader aktiviert ein verschleiertes .cmd-Skript, das den Windows-Prozess SndVol.exe (Lautstärkeregelung) mit dem in seinen Speicher injizierten Remcos RAT ausführt. Diese Methode nutzt die Tatsache aus, dass SndVol.exe als vertrauenswürdiger Windows-Prozess gilt, was es dem Trojaner ermöglicht, sich als legitime Systemaktivität zu tarnen.
Ein wesentlicher Bestandteil dieser Kampagne ist die Verwendung von Windows Living Off the Land Binaries (LOLBAS) und anderen Techniken zur Verschleierung und Persistenz. Die Angreifer verwenden BatCloak, um .cmd-Skripte zu verschlüsseln und zu verschleiern, was die statische Analyse erschwert und es den Skripten ermöglicht, die bösartige Nutzlast unbemerkt herunterzuladen und auszuführen.
Besonders bemerkenswert ist der UAC-Bypass, der durch die Ausnutzung des Verzeichnisbenennungsverhaltens von Windows erreicht wird. Indem ein Verzeichnis mit einem nachgestellten Leerzeichen erstellt wird, das wie ein vertrauenswürdiger Speicherort aussieht, können die Angreifer ihre Nutzlasten speichern und ausführen, ohne UAC-Eingabeaufforderungen auszulösen.
Die Kampagne zeigt, wie wichtig es ist, auf Verhaltensanalysen und Echtzeitsandboxing zu setzen, um solche Bedrohungen zu erkennen und zu bekämpfen. Sicherheitsanalysten sollten auf ungewöhnliche Dateipfade, verdächtiges Prozessverhalten und ungewöhnliche geplante Aufgaben achten, um Anzeichen einer Kompromittierung zu identifizieren.
Die Verwendung von Tools wie ANY.RUN kann dabei helfen, diese Techniken in einer kontrollierten Umgebung zu beobachten und zu analysieren. Die Fähigkeit, LOLBAS-Missbrauch, Prozessinjektion und UAC-Bypass in Echtzeit zu erkennen, ist entscheidend, um die Bedrohungslage zu verstehen und angemessen darauf zu reagieren.
Diese Entwicklungen unterstreichen die Notwendigkeit, Sicherheitsstrategien kontinuierlich zu aktualisieren und zu verbessern, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten. Unternehmen sollten ihre Sicherheitsteams mit den notwendigen Werkzeugen und Kenntnissen ausstatten, um schnell auf solche Angriffe reagieren zu können.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Bachelorand / Masterand (m/w/d) – Potenziale und Risiken von Einkaufsplattformen in Verbindung mit KI-Features
Senior Solution Customer Success Manager (f/m/d) for SAP Business AI
IT Solution Architekt AI (w/m/d)
Laboringenieur*in im Bereich Virtuelle Infrastruktur für Big Data und Künstliche Intelligenz - Kennziffer: 418a/2024 I
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Neue Angriffsmethoden auf Windows: UAC-Bypass zur Verbreitung von Remcos RAT" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Neue Angriffsmethoden auf Windows: UAC-Bypass zur Verbreitung von Remcos RAT" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Neue Angriffsmethoden auf Windows: UAC-Bypass zur Verbreitung von Remcos RAT« bei Google Deutschland suchen, bei Bing oder Google News!