Cyberkriminelle nutzen gefälschte Antivirus-Seiten zur Verbreitung von Venom RAT

LONDON (IT BOLTWISE) – In einer neuen Welle von Cyberangriffen haben Sicherheitsforscher eine Kampagne aufgedeckt, die gefälschte Webseiten nutzt, um das Remote-Access-Trojaner Venom RAT zu verbreiten.

Cyberkriminelle haben eine neue Methode entwickelt, um ahnungslose Nutzer zu täuschen und ihre digitalen Vermögenswerte zu stehlen. Eine gefälschte Webseite, die vorgibt, Antivirus-Software von Bitdefender anzubieten, wird genutzt, um das Remote-Access-Trojaner Venom RAT zu verbreiten. Diese Kampagne zielt darauf ab, die Anmeldedaten und Krypto-Wallets der Opfer zu kompromittieren und möglicherweise den Zugang zu ihren Systemen zu verkaufen.

Die betrügerische Webseite, die unter der Domain „bitdefender-download[.]com“ läuft, fordert die Besucher auf, eine Windows-Version der Antivirus-Software herunterzuladen. Der Download-Button leitet die Nutzer zu einem Amazon S3-Bucket weiter, nachdem er ursprünglich von einem nicht mehr aktiven Bitbucket-Konto stammte. Das heruntergeladene ZIP-Archiv enthält eine ausführbare Datei namens „StoreInstaller.exe“, die mit Konfigurationen für Venom RAT sowie Code für das Open-Source-Post-Exploitation-Framework SilentTrinity und den StormKitty-Stealer ausgestattet ist.

Venom RAT, ein Ableger von Quasar RAT, ist in der Lage, Daten zu sammeln und Angreifern dauerhaften Fernzugriff zu gewähren. Die DomainTools Intelligence (DTI) Gruppe hat festgestellt, dass die gefälschte Webseite zeitliche und infrastrukturelle Überschneidungen mit anderen bösartigen Domains aufweist, die Banken und IT-Dienste imitieren, um Anmeldedaten zu stehlen.

Diese Kampagne zeigt einen klaren Trend: Angreifer nutzen ausgeklügelte, modulare Malware, die aus Open-Source-Komponenten besteht. Dieser „Build-your-own-Malware“-Ansatz macht die Angriffe effizienter, unauffälliger und anpassungsfähiger. Während Venom RAT unbemerkt eindringt, stiehlt StormKitty Passwörter und digitale Wallet-Informationen, und SilentTrinity sorgt dafür, dass der Angreifer verborgen bleibt und die Kontrolle behält.

Parallel dazu hat Sucuri vor einer ClickFix-ähnlichen Kampagne gewarnt, die gefälschte Google Meet-Seiten verwendet, um Nutzer zur Installation eines stark verschleierten Windows-Batch-Skripts namens noanti-vm.bat RAT zu verleiten. Diese gefälschte Google Meet-Seite zeigt keinen Anmeldebildschirm, sondern nutzt Social Engineering, indem sie einen gefälschten „Mikrofonberechtigung verweigert“-Fehler anzeigt und den Nutzer auffordert, einen bestimmten PowerShell-Befehl als „Lösung“ einzugeben.

Diese Angriffe sind Teil eines Anstiegs von Phishing-Aktivitäten, die Googles AppSheet-Plattform nutzen, um eine hochgradig zielgerichtete Kampagne zu starten, die Meta imitiert. Die Angreifer verwenden modernste Taktiken wie polymorphe Identifikatoren und fortschrittliche Man-in-the-Middle-Proxy-Mechanismen, um Anmeldedaten und Zwei-Faktor-Authentifizierungscodes zu erbeuten und in Echtzeit auf soziale Medienkonten zuzugreifen.

Die Kampagne nutzt AppSheet, um Phishing-E-Mails in großem Umfang zu versenden, wodurch die Bedrohungsakteure E-Mail-Sicherheitsmaßnahmen wie SPF, DKIM und DMARC umgehen können, da die Nachrichten von einer gültigen Domain stammen. Die E-Mails geben vor, von Facebook Support zu stammen, und verwenden Kontolöschungswarnungen, um Nutzer dazu zu bringen, auf gefälschte Links zu klicken, die als Einspruch innerhalb von 24 Stunden eingereicht werden sollen. Diese Links führen die Opfer zu einer Adversary-in-the-Middle-Phishing-Seite, die darauf ausgelegt ist, ihre Anmeldedaten und Zwei-Faktor-Authentifizierungscodes zu stehlen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!