Spam verteilt per AutoIt gepackten Trojaner

Sicherheitsforscher von Trend Micro sind jetzt auf eine besondere Malware-Kampagne gestoßen. Ein Trojaner, der mit AutoIt kompiliert wurde, wird über Spam-Mails an Windows-Systeme verteilt.


Anzeige

AutoIT ist eine Scripting-Sprache, die ursprünglich für die Automatisierung von Basisaufgaben in Windows-Oberflächen gedacht war. AutoIt wurde schon öfters von Cyberkriminellen für die Verschleierung von Malware missbraucht. Ich bin die Tage über einen Tweet im Twitter-Kanal von Trend Micro-Deutschland auf diesen aktuellen Fund aufmerksam geworden.

In diesem Blog-Beitrag legen die Sicherheitsforscher von Trend Micro weitere Details offen. Entdeckt wurde das Ganze kürzlich durch einen Fund in einem Honeypot des Unternehmens. Die per Spam verteilte Malware beinhaltet mit AutoIT kompilierte Payloads. Es handelt sich dabei um den Spionagetrojaner Negasteal oder Agent Tesla (TrojanSpy.Win32.NEGASTEAL.DOCGC) und einen Remote Access Trojaner (RAT) Ave Maria oder Warzone (TrojanSpy.Win32.AVEMARIA.T). Trend Micr schreibt dazu:

Das Upgrade von Payloads von einem typischen Spionagetrojaner auf einen heimtückischeren RAT könnte ein Indiz dafür sein, dass die cyberkriminellen Hintermänner dazu übergehen wollen, destruktivere (und lukrativere) Payloads wie Ransomware nach der Erkundung einzusetzen.

Die Kampagne umfasst mit AutoIT kaschierte ISO Image-Dateien sowie als RAR und LZH komprimierte Archiv-Anhänge, die dazu beitragen sollen, der Entdeckung zu entgehen. Vor allem ISO Images können dazu genutzt werden, Spam-Filter zu vermeiden. Auch lässt sich das Dateiformat auf den neueren Windows-Versionen einfacher mounten.

Zudem stellten die Forscher fest, dass die Spam-Kampagne über eine möglicherweise kompromittierte Webmail-Adresse verschickt wurde. Die Malware wurde über Anhänge von Spam-Mails verbreitet. Die Spam-Mails benutzten eine gefälschte Versandanzeige und ein vorgebliches finanzielles Dokument. Hier ein Beispiel einer solchen Spam-Mail einer angeblichen Versandbenachrichtigung von DHL.

(Quelle: Trend Micro)

Der Schädling findet sich im RAR-Anhang dieser Spam-Mail. Der heruntergeladene bösartige Anhang extrahiert dann die mithilfe von AutoIT kaschierten Schädlingsarten von Negasteal und Ave Maria. Weitere Details zur Malware lassen sich bei Trend Micro nachlesen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit, Trojaner verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Spam verteilt per AutoIt gepackten Trojaner


  1. Anzeige
  2. Red+ sagt:

    Seit wann versendet denn die DHL bei einer Versandbenachrichtigung ein mit Winrar komprimiertes pdf Dokument mit, spätestens da sollten jedem User die Alarm Sirenen schrillen.

    • Andreas B. sagt:

      Aua dier … Oh dier, oh dier! Se Inglisch off siss Spämm-Mäil ess schoun in se Skrienschott iss ä bitt sträinsch. Issent itt?

  3. Kai sagt:

    Nicht nur DHL verschickt solche E-Mails.
    Die Mailserver zweier Kunden von uns wurden infiziert. Diese versenden jetzt an uns auf bestehende Konversationen Antworten – mit diesen Anhängen …

    SEHR schönes Ding …
    Wir haben jetzt bei uns sicherheitshalber per GPO alle Macros deaktiviert. In einem Konzern, während des Monatsanschlusses … LUSTIG!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.