Caminho: Neuer brasilianischer Malware-Loader nutzt Steganografie

BRASILIEN / LONDON (IT BOLTWISE) – Ein neuer Malware-Loader namens Caminho nutzt fortschrittliche Steganografie-Techniken, um schädliche .NET-Payloads in harmlosen Bilddateien zu verstecken. Diese Entwicklung stellt eine bedeutende Herausforderung für Sicherheitsforscher dar, da sie traditionelle Erkennungsmethoden umgeht.

Ein neu entdeckter Malware-Loader namens „Caminho“, was auf Portugiesisch „Pfad“ bedeutet, hat sich als fortschrittliche Plattform für Loader-as-a-Service etabliert. Diese nutzt die Least Significant Bit (LSB) Steganografie, um schädliche .NET-Payloads in scheinbar harmlose Bilddateien zu verbergen. Laut den Forschungen von Arctic Wolf Labs wurde die Operation erstmals im März 2025 beobachtet und hat sich bis Juni erheblich weiterentwickelt, wobei sie sich von Südamerika nach Afrika und Osteuropa ausbreitete.

Die Untersuchung ergab 71 Varianten, die alle dieselbe Kernarchitektur und portugiesischsprachige Artefakte im Code teilen, was auf einen brasilianischen Ursprung hindeutet. Die betroffenen Umgebungen umfassten Brasilien, Südafrika, die Ukraine und Polen, was darauf hindeutet, dass sich die Operation zu einem multiregionalen Dienst entwickelt hat, anstatt nur eine einzelne Kampagne zu sein.

Opfer wurden durch Spear-Phishing-Anhänge getroffen, die geschäftsbezogene Social-Engineering-Techniken nutzten. Die erste Stufe setzte obfuskiertes JavaScript oder VBScript ein, das ein PowerShell-Skript abrief, welches wiederum ein steganografisches Bild von legitimen Plattformen wie archive.org herunterlud. Caminho verwendet LSB-Steganografie in Bilddateien wie JPGs oder PNGs, um eine Payload zu verbergen. Das PowerShell-Skript extrahiert den eingebetteten .NET-Loader aus dem Bild, lädt ihn direkt in den Speicher, ohne auf die Festplatte zu schreiben, und injiziert ihn in einen legitimen Windows-Prozess wie calc.exe.

Diese „fileless“ Ausführungsmodell hilft, traditionelle festplattenbasierte Erkennung zu umgehen. Durch das Persistieren über geplante Aufgaben mit Namen wie „amandes“ oder „amandines“ bleibt der Loader auch nach Neustarts aktiv. Die Lieferkette ist modular aufgebaut. Nachdem der Loader ausgeführt wurde, ruft er die Endstufen-Malware über URLs ab, die als Argumente übergeben werden. Bereits beobachtete Payloads umfassen den kommerziellen Remote-Access-Trojaner REMCOS RAT, XWorm und den Credential-Stealer Katz Stealer.

Durch die Wiederverwendung steganografischer Bilder und C2-Infrastruktur über mehrere Kampagnen hinweg spiegelt die Operation ein LaaS-Geschäftsmodell wider. Ein Beispiel: Die Bilddatei „universe-1733359315202-8750.jpg“ tauchte in mehreren Kampagnen mit unterschiedlichen Payloads auf. Ihre Infrastruktur ist ebenfalls clever gestaltet. Die Kampagne nutzt legitime Dienste wie Archive.org, um Stego-Bilder zu hosten, und Paste-Style-Dienste wie paste.ee, pastefy.app, für die Skriptbereitstellung, wodurch bösartiger Inhalt inmitten von normalem Datenverkehr verborgen wird.

Für die Befehls- und Kontrollkommunikation verwendete die Kampagne Domains wie „cestfinidns.vip“ auf AS214943 (Railnet LLC), bekannt für bullet-proof Hosting. Caminho stellt Verteidiger vor Herausforderungen, da steganografische Bilder signaturbasierte Erkennung umgehen und harmlos erscheinen. Die fileless Ausführung vermeidet das Schreiben von Payloads auf die Festplatte, was die forensische Rückverfolgbarkeit einschränkt. Die modulare Dienstarchitektur ermöglicht mehrere Malware-Familien im großen Maßstab. Die Nutzung legitimer Hosting- und Bereitstellungsdienste reduziert netzwerkbasierte Warnsignale.

Portugiesischsprachige Artefakte und die Zielsetzung während brasilianischer Geschäftszeiten deuten auf einen regionalen Ursprung hin, aber die Infrastruktur unterstützt globale Operationen. Caminho zeigt, wie moderne Loader traditionelle Angriffstechniken – Skript-Drop aus Phishing, Prozessinjektion und Sleeper-Aufgaben – mit fortschrittlicher Umgehung durch Steganografie und dienstähnliche Architekturen kombinieren. Da die Kampagne ihre geografische Reichweite und Payload-Unterstützung erweitert, sollten Organisationen in den Zielregionen – insbesondere in Südamerika, Afrika und Osteuropa – von einer Exposition ausgehen, proaktiv suchen und die Integrität von Bilddateien, Download-Ursprüngen und Prozessbäumen validieren.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Neu 2025 KI Übersetzer Kopfhörer, 3-in-1 Echtzeit Sprachübersetzer Ohrhörer mit 164 Sprachen & 7 Modi, Bluetooth 5.4 Kopfhörer Übersetzer mit App, LED Display, 42H Laufzeit für Reisen Weiß

37,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Neu 2025 KI Übersetzer Kopfhörer, 3-in-1 Echtzeit Sprachübersetzer Ohrhörer mit 164 Sprachen & 7 Modi, Bluetooth 5.4 Kopfhörer Übersetzer mit App, LED Display, 42H Laufzeit für Reisen/Business Schwarz

35,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI Übersetzer Kopfhörer, Bluetooth 5.4 Kopfhörer Übersetzer mit 164 Sprachen kopfhörer übersetzer echtzeit mit 7 Modi, ENC Rauschunterdrückung AI-Assistent 56H Laufzeit für Business, Reisen und Lernen

29,99 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

Neu 2025 KI Übersetzer Kopfhörer, 3-in-1 Echtzeit Sprachübersetzer Ohrhörer mit 164 Sprachen & 7 Modi, Bluetooth 5.4 Kopfhörer Übersetzer mit App, LED Display, 42H Laufzeit für Reisen Roségold

35,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!