AstraLocker 2.0: Infektion per Word-Anhang

Publiziert am 4. Juli 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von ReversingLabs sind einer relativ unbekannten Schadsoftware auf die Spur gekommen, die sie AstraLocker genannt haben. In der Version 2.0 sind die Angreifer dazu übergegangen, die schädliche Nutzlast direkt aus einem Word-Dokument, welches als Anhang zu einer Mail mitgeliefert wird, nachzuladen. Das ist insofern ungewöhnlich, als Cyber-Angreifer in der Regel versuchen, den Angriff zu verschleiern. Die Sicherheitsforscher gehen davon aus, dass die Gruppe nur geringe Fähigkeiten für Cyber-Angriffe habe, aber ihre Kampagnen auf Zerstörung ausrichtet.

Anzeige

Die Sicherheitsforscher von ReversingLabs haben ihre Erkenntnisse in diesem Dokument veröffentlicht. Ich bin die Tage über nachfolgenden Tweet auf diesen Sachverhalt gestoßen.

AstraLocker 2.0

Die neue Version der AstraLocker-Ransomware (AstraLocker 2.0) wurde erst kürzlich von ReversingLabs im Rahmen von Phishing-Angriffen entdeckt. Die Phishing-Mails verwendeten Microsoft Word- oder Office-Dateien im Anhang als Köder für die Opfer. Die Analyse der Sicherheitsforscher legt nahe, dass der für diese Kampagne verantwortliche Bedrohungsakteur den zugrunde liegenden Code für AstraLocker 2.0 wahrscheinlich aus einem Leck der Babuk-Ransomware im September 2021 übernommen hat. Zu den Verbindungen zwischen den beiden Kampagnen gehören gemeinsamer Code und Kampagnenmarker, während eine Monero-Wallet-Adresse, die für die Lösegeldzahlung angegeben wurde, mit der Chaos Ransomware-Gang in Verbindung steht.

Die "Smash-and-Grab"-Angriffsmethodik sowie andere Merkmale deuten laut Aussagen der Sicherheitsforscher darauf hin, dass die Angreifer hinter dieser Malware nur über geringe Fähigkeiten verfügen. Ziel sei es, Störungen zu verursachen, während Babuk und andere ausgefeiltere Ransomware-Kampagnen eher geduldig, methodisch und mit Bedacht an die Kompromittierung herangehen.

AstraLocker 2.0 unterstreicht das Risiko, das für Unternehmen nach Codelecks wie dem von Babuk besteht, da eine große Anzahl von wenig qualifizierten und hoch motivierten Angreifern den Code für ihre eigenen Angriffe nutzt. Details zur Analyse der Malware findet sich in diesem Dokument.

Ähnliche Artikel:
Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe
Avast veröffentlicht Decryptor für AtomSilo, Babuk und LockFile

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Office, Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu AstraLocker 2.0: Infektion per Word-Anhang

  1. Stephan sagt:
    4. Juli 2022 um 13:29 Uhr

    Andere wollen eben auch ein Stück vom Kuchen abhaben.

    Aber, wenn die Angreifer wie angegeben so wenig Ahnung haben, werden sie sicher auch schnell Fehler machen und auffliegen.

    Antworten
  2. Paul sagt:
    4. Juli 2022 um 16:27 Uhr

    Früher(tm) gab es doch mal so reine "Viewer" für die properitären MS-Formate ala "Doc-viewer".
    Wo ist der hin?
    Und wieso?

    Antworten
  3. Sebastian sagt:
    5. Juli 2022 um 13:54 Uhr

    neu ist das nicht. ich habe da schon so quatsch erlebt das eine exe direkt als text im word dokument stand und mittels ein wenig vba dann neu gespeichert und ausgeführt wurde.
    der textschrift war weiss so das dass dokument oberflächlich leer aussah.

    in den custom document properties steht sowas manchmal auch oder eben ole.

    Antworten

Schreibe einen Kommentar zu Paul Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.