Spam verteilt per AutoIt gepackten Trojaner

Sicherheitsforscher von Trend Micro sind jetzt auf eine besondere Malware-Kampagne gestoßen. Ein Trojaner, der mit AutoIt kompiliert wurde, wird über Spam-Mails an Windows-Systeme verteilt.

AutoIT ist eine Scripting-Sprache, die ursprünglich für die Automatisierung von Basisaufgaben in Windows-Oberflächen gedacht war. AutoIt wurde schon öfters von Cyberkriminellen für die Verschleierung von Malware missbraucht. Ich bin die Tage über einen Tweet im Twitter-Kanal von Trend Micro-Deutschland auf diesen aktuellen Fund aufmerksam geworden.

Trend Micro entdeckt Spam-Kampagne mit AutoIT kompilierten Payloads, d.h. Spionagetrojaner und RAT – vermutlich um nach der Erkundung destruktivere (lukrativere) Payloads wie Ransomware einzusetzen https://t.co/jqJGYnKAoP ^RW #threat #cybercrime pic.twitter.com/025X5jWEti

— Trend Micro Deutschland (@TrendMicroDE) October 30, 2019

In diesem Blog-Beitrag legen die Sicherheitsforscher von Trend Micro weitere Details offen. Entdeckt wurde das Ganze kürzlich durch einen Fund in einem Honeypot des Unternehmens. Die per Spam verteilte Malware beinhaltet mit AutoIT kompilierte Payloads. Es handelt sich dabei um den Spionagetrojaner Negasteal oder Agent Tesla (TrojanSpy.Win32.NEGASTEAL.DOCGC) und einen Remote Access Trojaner (RAT) Ave Maria oder Warzone (TrojanSpy.Win32.AVEMARIA.T). Trend Micr schreibt dazu:

Das Upgrade von Payloads von einem typischen Spionagetrojaner auf einen heimtückischeren RAT könnte ein Indiz dafür sein, dass die cyberkriminellen Hintermänner dazu übergehen wollen, destruktivere (und lukrativere) Payloads wie Ransomware nach der Erkundung einzusetzen.

Die Kampagne umfasst mit AutoIT kaschierte ISO Image-Dateien sowie als RAR und LZH komprimierte Archiv-Anhänge, die dazu beitragen sollen, der Entdeckung zu entgehen. Vor allem ISO Images können dazu genutzt werden, Spam-Filter zu vermeiden. Auch lässt sich das Dateiformat auf den neueren Windows-Versionen einfacher mounten.

Zudem stellten die Forscher fest, dass die Spam-Kampagne über eine möglicherweise kompromittierte Webmail-Adresse verschickt wurde. Die Malware wurde über Anhänge von Spam-Mails verbreitet. Die Spam-Mails benutzten eine gefälschte Versandanzeige und ein vorgebliches finanzielles Dokument. Hier ein Beispiel einer solchen Spam-Mail einer angeblichen Versandbenachrichtigung von DHL.

(Quelle: Trend Micro)

Der Schädling findet sich im RAR-Anhang dieser Spam-Mail. Der heruntergeladene bösartige Anhang extrahiert dann die mithilfe von AutoIT kaschierten Schädlingsarten von Negasteal und Ave Maria. Weitere Details zur Malware lassen sich bei Trend Micro nachlesen.