Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Hulpmiddelen voor extern beheer Malwarecampagne met dubbele payload

Malwarecampagne met dubbele payload

Tegen Mezo in Hulpmiddelen voor extern beheer, Advertentie-adware
Vertalen naar:

Een recent ontdekte malwarecampagne trekt veel aandacht binnen de cybersecuritywereld vanwege het vermogen om twee verschillende bedreigingen tegelijkertijd in te zetten. Eén enkele, versleutelde loader wordt gebruikt om zowel de Gh0st RAT als CloverPlus op hetzelfde geïnfecteerde systeem te installeren.

Deze combinatie is zowel ongebruikelijk als zeer strategisch. Gh0st RAT maakt volledige controle op afstand over de geïnfecteerde machine mogelijk, terwijl CloverPlus zich richt op het manipuleren van browseractiviteit, het injecteren van advertentiecomponenten en het genereren van inkomsten via opdringerige pop-ups. De dubbele inzet stelt cybercriminelen in staat om aanhoudende ongeautoriseerde toegang te behouden en tegelijkertijd in realtime inkomsten te genereren uit de infectie.

Deze campagne benadrukt een groeiende trend naar het leveren van meerdere payloads, waarbij aanvallers de operationele efficiëntie en het financiële rendement van één enkele inbreuk maximaliseren.

Verhullingstactieken: het verbergen van de lading

De loader die centraal staat in deze campagne is ontworpen voor onopvallendheid. Hij bevat twee versleutelde payloads in het resourcegedeelte en maakt gebruik van obfuscatietechnieken om traditionele detectiemechanismen te omzeilen.

De uitvoering begint met de CloverPlus-adwaremodule, geïdentificeerd als AdWare.Win32.CloverPlus en gekoppeld aan een uitvoerbaar bestand met de naam wiseman.exe. Deze component wijzigt de opstartinstellingen van de browser en injecteert hardnekkige pop-upadvertenties.

Vervolgens controleert de loader het uitvoeringspad. Als deze niet vanuit de %temp%-directory van het systeem opereert, maakt hij daar een kopie van zichzelf aan voordat hij verdergaat. De volgende stap is het decoderen van de Gh0st RAT-clientmodule, die ook als versleutelde bron in het malwarebestand is verborgen.

Na decodering kent de malware een willekeurige bestandsnaam toe aan de payload en slaat deze op in een willekeurig benoemde map in de hoofdmap van de C:\-schijf, wat detectie en analyse verder bemoeilijkt.

Leven van het land: vertrouwde gereedschappen, kwaadwillige bedoelingen

Om de onversleutelde payload uit te voeren, maakt de malware gebruik van het legitieme Windows-hulpprogramma rundll32.exe. Deze aanpak maakt het mogelijk om kwaadaardige code uit te voeren onder het mom van een vertrouwd systeemproces, waardoor de kans dat beveiligingsmaatregelen worden geactiveerd aanzienlijk kleiner wordt.

Zodra Gh0st RAT actief is, begint het met het profileren van het geïnfecteerde systeem door unieke identificatiegegevens te verzamelen, zoals het MAC-adres en het serienummer van de harde schijf. Deze gegevens worden gebruikt om het slachtoffer te registreren binnen de command-and-control-infrastructuur van de aanvaller, waardoor nauwkeurige tracking en beheer van geïnfecteerde hosts mogelijk is.

Mechanismen voor persistentie: het waarborgen van toegang op lange termijn

Toegang behouden na een herstart van het systeem is een belangrijk doel van deze campagne. Gh0st RAT bereikt persistentie door middel van meerdere technieken die diep in het besturingssysteem zijn ingebed:

Wijziging van de Windows Run-registersleutel om automatische uitvoering bij het opstarten te garanderen.
Registratie van een kwaadaardige DLL binnen het servicepad voor externe toegang onder SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Deze methoden verlenen de malware systeemrechten zodra de bijbehorende service wordt gestart, waardoor verdere gebruikersinteractie overbodig wordt en de controle op lange termijn wordt versterkt.

Detectie en verdediging: Indicatoren van een inbreuk

De impact van deze campagne is aanzienlijk, zowel voor individuen als voor organisaties. De adware verstoort de functionaliteit van browsers en verhoogt de blootstelling aan schadelijke reclame, terwijl de RAT-component datadiefstal, toetsaanslagregistratie, het omzeilen van beveiligingsmaatregelen en permanente toegang met verhoogde privileges mogelijk maakt.

Beveiligingsteams moeten waakzaam blijven en letten op de volgende indicatoren van een inbreuk:

  • Het uitvoeren van rundll32.exe laadt DLL's of bestanden met niet-standaard extensies vanuit ongebruikelijke of verdachte mappen.
  • Procesactiviteit afkomstig uit de %temp%-map
  • Ongeautoriseerde wijzigingen aan registersleutels of configuraties van de RemoteAccess-service.
  • Gebruik van ping-gebaseerde vertragingen om sandboxdetectie te omzeilen.
  • Abnormale DNS-verkeerspatronen en onverwachte wijzigingen in het hosts-bestand van het systeem

Proactieve monitoring en snelle reactie op deze signalen zijn cruciaal om de risico's van deze geavanceerde malwarecampagne met dubbele dreiging te beperken.

Trending

Meest bekeken

Bezig met laden...