GrayAlpha nutzt gefälschte Browser-Updates für Malware-Angriffe

LONDON (IT BOLTWISE) – Eine neue Bedrohung durch die Hackergruppe GrayAlpha zeigt, wie Cyberkriminelle legitime Software-Update-Mechanismen ausnutzen, um Schadsoftware zu verbreiten.

Die Hackergruppe GrayAlpha hat eine raffinierte Kampagne gestartet, die gefälschte Browser-Update-Seiten nutzt, um fortschrittliche Malware zu verbreiten. Diese Kampagne, die seit mindestens April 2024 aktiv ist, zeigt eine bedeutende Weiterentwicklung in den Taktiken der Gruppe. Sie demonstriert ihre Fähigkeit, scheinbar legitime Software-Update-Mechanismen zu nutzen, um Opfer in verschiedenen Branchen zu kompromittieren.

Die Operation umfasst drei verschiedene Infektionsvektoren, wobei gefälschte Browser-Updates als primärer Verbreitungsmechanismus dienen. Ergänzt wird dies durch bösartige 7-Zip-Download-Seiten und das bisher nicht dokumentierte TAG-124-Traffic-Distributionssystem. Diese ausgeklügelten Angriffsketten führen letztlich zur Bereitstellung von NetSupport RAT, einem Remote-Access-Trojaner, der Angreifern umfassende Systemkontrolle über infizierte Maschinen bietet.

Die Bedrohungsakteure zeigen bemerkenswerte Beharrlichkeit, mit neu registrierten Domains, die noch im April 2025 auftauchten, was auf laufende aktive Operationen hinweist. Analysten von Recorded Future identifizierten neue Infrastrukturen, die mit GrayAlpha in Verbindung stehen, und enthüllten die Überschneidung der Gruppe mit der finanziell motivierten Cyberkriminellen-Organisation FIN7.

Diese Verbindung ist besonders bedeutsam, da FIN7 als eine der produktivsten und technisch versiertesten Cyberkriminellen-Gruppen gilt, mit Operationen, die bis ins Jahr 2013 zurückreichen und eine dokumentierte Geschichte des Angriffs auf Organisationen in 47 US-Bundesstaaten und mehreren Ländern aufweisen.

Die Infrastruktur der gefälschten Browser-Updates besteht aus einem umfangreichen Netzwerk von Domains, die darauf ausgelegt sind, legitime Produkte und Dienstleistungen zu imitieren, darunter Google Meet, LexisNexis, Asana, SAP Concur und Advanced IP Scanner. Diese täuschenden Seiten verwenden ausgeklügelte Fingerprinting-Techniken, die JavaScript-Funktionen wie getIPAddress() und trackPageOpen() nutzen, um Opfer-Systeme zu profilieren, bevor sie bösartige Nutzlasten ausliefern.

Die Bedrohungsakteure zeigen ein erhebliches Bewusstsein für operative Sicherheit, indem sie ihre Infrastruktur hauptsächlich über bulletproof Hosting-Anbieter hosten, wobei die Mehrheit der Domains auf Infrastruktur von Stark Industries Solutions verweist. Der PowerNet-Loader stellt einen bedeutenden technischen Fortschritt im Arsenal von GrayAlpha dar und fungiert als benutzerdefiniertes PowerShell-basiertes Tool, das NetSupport RAT-Nutzlasten dekomprimiert und ausführt.

Dieser Loader arbeitet in Verbindung mit MaskBat, einem weiteren benutzerdefinierten Loader, der Ähnlichkeiten mit der bekannten FakeBat-Malware aufweist, jedoch verbesserte Verschleierungstechniken und speziell mit GrayAlpha-Operationen verknüpfte Strings enthält. Der Infektionsmechanismus der Browser-Updates zeigt eine ausgeklügelte Kombination aus Social Engineering und technischer Präzision. Wenn Opfer kompromittierte oder bösartige Websites besuchen, werden sie auf gefälschte Update-Seiten umgeleitet, die legitime Software-Update-Oberflächen genau nachahmen.

Diese Seiten verwenden fortschrittliche Fingerprinting-Skripte, die detaillierte Systeminformationen sammeln, bevor sie entscheiden, ob bösartige Inhalte bereitgestellt werden sollen. Der Fingerprinting-Prozess umfasst typischerweise das Senden von POST-Anfragen an Content-Delivery-Network-ähnliche Domains, wie cdn40[.]click, die einem konsistenten Namensmuster folgen, das mit „cdn“ beginnt, gefolgt von zufälligen Zahlen und verschiedenen Top-Level-Domains.

Sobald das System-Fingerprinting abgeschlossen ist und das Opfer als geeignet für eine Infektion angesehen wird, wird die bösartige Nutzlast über spezifische Endpunkte bereitgestellt, am häufigsten /download.php, obwohl Variationen wie /download/download.php und produktspezifische Pfade verwendet werden, um das Erscheinungsbild der Legitimität zu erhöhen. Der PowerNet-Loader initiiert dann seine Dekompressions- und Ausführungssequenz, stellt die Persistenz auf dem Zielsystem her und bereitet die Bereitstellung der NetSupport RAT-Nutzlast vor.

Dieser mehrstufige Ansatz ermöglicht es den Bedrohungsakteuren, operative Flexibilität zu bewahren und gleichzeitig die Erkennung durch Sicherheitslösungen zu minimieren, wie die anhaltende Aktivität der Kampagne über einen Zeitraum von mehr als einem Jahr zeigt.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!