Remote-Access-Trojaner aus der Cloud

Inzwischen setzten die ersten Cyberkriminellen statt auf eigene Infrastruktur auf die Clouds wie Microsofts Azure oder Amazons AWS. Aktuell läuft eine solche Kampagne seit Oktober 2021, bei der die  Trojaner Netwire, Nanocore und AsyncRAT eingesetzt werden.

Remote-Access-Trojaner warten in der Cloud auf ihre Opfer

Die Sicherheitsforscher von Cisco Talos haben eine neue Malware-Kampagne offengelegt, die öffentliche Cloud-Infrastrukturen benutzt, um darüber drei verschiedene Remote-Access-Trojaner zu verbreiten. Der Missbrauch legaler Dienste von Anbietern wie Microsoft Azure und Amazon Web Services (AWS) gibt den Cyberangreifern die Option, auf Betrieb und Verwaltung einer eigenen Infrastruktur zu verzichten.

„Diese Arten von Cloud-Diensten wie sie Azure und AWS vermieten, gestatten es den Angreifern, ihre Infrastruktur einzurichten und sich mit minimalem Zeit- und Kostenaufwand mit dem Internet zu verbinden“, informiert Talos. „Außerdem wird es für die Verteidiger schwieriger, die Operationen der Angreifer aufzuspüren“.

Es beginnt meist mit einer Phishing-Email

Entdeckt haben die Forscher diese neuartige Kampagne schon im Oktober 2021. Noch sind deren Opfer mehrheitlich in den USA, Kanada und in Italien ansässig. Die Angriffskette beginnt dabei sehr typisch mit einer Phishing-Email, die häufig als Rechnung getarnt ist.

Diesen Mails haben ZIP-Dateien im Anhang, welche beim Öffnen ein ISO-Image entblättern. Diese ISO-Datei enthält ein bösartiges Ladeprogramm für die Trojaner, das über JavaScript, eine Windows-Batch-Datei oder ein Visual Basic-Skript ausgeführt wird.

Versucht ein Opfer, das Disk-Image zu laden, werden diese Schadskripte gestartet. Die Skripte, die für den Einsatz von Nanocore, Netwire und AsyncRAT konzipiert sind, greifen dann auf einen Download-Server zu, um weitere Malware zu laden – und da kommen dann die Cloud-Dienste ins Spiel.

Netwire, Nanocore und AsyncRAT sind beliebte kommerzielle Trojaner-Stämme, die von Bedrohungsakteuren recht häufig benutzt werden, um aus der Ferne anfällige Rechner anzugreifen und zu übernehmen, Benutzerdaten zu stehlen oder um zum Beispiel durch Audio- und Kameraaufnahmen Überwachungsmaßnahmen durchzuführen.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.