Bösartige Werbung, englisch Malvertising, wird virtuell. Hacker verbreiten .NET-Malware-Loader durch Malvertising-Angriffe mit raffinierten Täuschungstechniken (English version below).
Werbung ist meistens lästig und manchmal wird es wirklich unangenehm. MalVirt-Loader verbreiten derzeit Malware Werbung als Teil einer laufenden Kampagne. Um den echten C2-Verkehr zu verschleiern und Netzwerkerkennungen zu umgehen, sendet die Malware Signale an zufällige Täuschungs-C2-Server, die bei verschiedenen Hosting-Anbietern wie Azure, Tucows, Choopa und Namecheap stehen. Die Hacker, die sich bisher auf Phishing konzentrierten, setzen jetzt stärker auf Malvertising.
Die Loader geben vor, mit Signaturen und Gegensignaturen von Unternehmen wie Microsoft, Acer, DigiCert, Sectigo und AVG Technologies USA digital signiert zu sein. In jedem Fall sind die Signaturen jedoch ungültig, wurden mit ungültigen Zertifikaten erstellt oder sind Zertifikate, denen das System nicht vertraut (d. h. die nicht im Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen gespeichert sind).
Die Sicherheitsforscher von SentinelLabs, der Research-Abteilung von SentinelOne, entdeckten Malvertising-Angriffe mit virtualisierten Malware-Loadern. Die so genannten MalVirt-Loader sind in .NET implementiert und nutzen Virtualisierung, basierend auf dem KoiVM Virtualisierungsschutz von .NET-Anwendungen, um ihre Implementierung und Ausführung zu verschleiern. Obwohl die KoiVM-Virtualisierung bei Hacking-Tools sehr beliebt ist, ist ihr Einsatz durch Cyberbedrohungsakteure als Verschleierungsmethode eine neue Entwicklung.
Technischer Hintergrund
Unter den Nutzdaten, die MalVirt-Loader verteilen, haben die Sicherheitsforscher Infostealer-Malware der Formbook-Familie entdeckt. Die Verbreitung dieser Malware zeichnet sich durch eine ungewöhnliche Häufung an angewandten Anti-Analyse- und Anti-Erkennungstechniken aus. Bedrohungsakteure nutzen die alternative Malware-Verbreitungsmethoden für Office-Makros wie Malvertising, Windows-Verknüpfungen (LNK-Dateien) und ISO-Dateien werden jetzt von Hackern genutzt, weil Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert. Malvertising ist eine Methode zur Verbreitung von Malware, die derzeit bei Bedrohungsakteuren sehr beliebt ist, was sich in den letzten Wochen durch eine deutliche Zunahme von manipulierter Suchmaschinenwerbung gezeigt hat.
Bei einer routinemäßigen Google-Suche nach „Blender 3D“ und der Untersuchung der Ergebnisse wurde erstmals ein MalVirt-Beispiel entdeckt. Die Loader geben hierbei vor, mit Signaturen und Gegensignaturen von großen Unternehmen wie Microsoft, Acer, DigiCert, Sectigo und AVG Technologies USA digital signiert zu sein. Diese Signaturen sind jedoch mit ungültigen Zertifikaten erstellt, oder es handelt sich um Zertifikate, denen das System nicht vertraut (d. h. die nicht im Zertifikatspeicher der Trusted Root Certification Authorities gespeichert sind).
Das entsprechende Zertifikat scheint zum Beispiel von Microsoft zu sein, besteht aber die Signaturprüfung nicht. Um den echten C2-Verkehr (Command-and-Control-Infrastruktur) zu verschleiern und Netzwerkerkennungen zu umgehen, sendet die Malware Signale an zufällige Täuschungs-C2-Server, die bei verschiedenen Hosting-Anbietern wie Azure, Tucows, Choopa und Namecheap gehostet werden.
Malvertising – Einsatz und Verbreitung
Diese Form der Malware wird im Dark Web verkauft und üblicherweise als Anhang von Phishing-E-Mails versendet. Während sie in der Regel von Cyberkriminellen eingesetzt wird, wurde ihre Verwendung in jüngster Zeit auch als Teil von Angriffen mit möglicherweise politischen Motiven beobachtet.
Im September 2022 berichtete das ukrainische Sicherheitsamt CERT über eine Formbook/XLoader-Kampagne, die über Phishing-E-Mails mit Kriegsthematik auf ukrainische staatliche Organisationen abzielte. Im Falle eines komplizierten Loaders könnte dies darauf hindeuten, dass versucht wird, cyberkriminelle Verbreitungsmethoden zu übernehmen, um nach der ersten Validierung gezieltere Malware der zweiten Stufe auf bestimmte Opfer zu laden. Eine genaue Betrachtung der MalVirt-Loader und die anschließend von ihnen verbreitete Infostealer-Malware, verdeutlicht den enormen Aufwand, den die Bedrohungsakteure betrieben haben, um der Erkennung zu entgehen und die Analyse zu vereiteln.
Fazit
Weil Microsoft standardmäßig Office-Makros in Dokumenten aus dem Internet blockiert, verwenden die Bedrohungsakteure nun alternative Methoden zur Verbreitung von Malware – zuletzt immer häufiger Malvertising. Bei der Malware der Formbook-Familie handelt es sich um einen äußerst leistungsfähigen Infostealer, der von den MalVirt-Loadern zur Verhinderung von Analysen und Erkennung eingesetzt wird. Da die Bedrohungsakteure durch das Malvertising ein riesiges Publikum erreichen können, ist davon auszugehen, dass diese Methode der Malware-Verbreitung in Zukunft noch weiter zunehmen wird.
English version
Virtual malware advertising
Malicious advertising (malvertising) goes virtual. Hackers spread NET malware loaders through malvertising attacks using sophisticated deception techniques.
Advertisements are usually annoying and sometimes they get really nasty. MalVirt loaders are currently spreading malware ads as part of an ongoing campaign. In order to disguise real C2 traffic and bypass network detections, the malware sends signals to random decoy C2 servers located at various hosting providers such as Azure, Tucows, Choopa and Namecheap. The hackers, who previously focused on phishing, are now focusing more on malvertising.
The loaders claim to be digitally signed with signatures and countersignatures from companies such as Microsoft, Acer, DigiCert, Sectigo and AVG Technologies USA. In each case, however, the signatures are invalid, were created with invalid certificates, or are certificates that the system does not trust (i.e., are not stored in the certificate store of trusted root certification authorities).
Security researchers at SentinelLabs, the research division of SentinelOne, discovered malvertising attacks using virtualized malware loaders. The so-called MalVirt loaders are implemented in .NET and use virtualization, based on the KoiVM virtualization protection of .NET applications, to obfuscate their deployment and execution. Although KoiVM virtualization is popular among hacking tools, its use by cyber threat actors as an obfuscation method is a recent development.
Technical background
Among the payloads that MalVirt loaders distribute, security researchers have discovered Infostealer malware of the Formbook family. The distribution of this malware is characterized by an unusual accumulation of applied anti-analysis and anti-detection techniques. Threat actors use the alternative malware distribution methods for Office macros such as Malvertising,
Windows shortcuts (LNK files) and ISO files are now being used by hackers because Microsoft blocks Office macros in documents from the Internet by default. Malvertising is a malware distribution method that is currently popular with threat actors, as evidenced by a significant increase in manipulated search engine ads in recent weeks.
A routine Google search for „Blender 3D“ and examination of the results revealed a MalVirt sample for the first time. In this case, the loaders claim to be digitally signed with signatures and countersignatures from major companies such as Microsoft, Acer, DigiCert, Sectigo and AVG Technologies USA. However, these signatures are created with invalid certificates, or they are certificates that the system does not trust (i.e. they are not stored in the Trusted Root Certification Authorities certificate store).
The certificate in question appears to be from Microsoft, for example, but does not pass the signature check. To obfuscate real C2 (command-and-control infrastructure) traffic and bypass network detections, the malware sends signals to random decoy C2 servers hosted by various hosting providers, such as Azure, Tucows, Choopa and Namecheap.
Malvertising – deployment and distribution
This form of malware is sold on the dark web and is usually sent as an attachment to phishing emails. While it is usually used by cybercriminals, its use has also been observed recently as part of attacks that may have political motives.
In September 2022, the Ukrainian Security Agency CERT reported a Formbook/XLoader campaign targeting Ukrainian state organizations via war-themed phishing emails. In the case of a complicated loader, this could indicate an attempt to adopt cybercriminal distribution methods to load more targeted second-stage malware onto specific victims after initial validation. A close look at the MalVirt loaders and the Infostealer malware they subsequently spread, illustrates the enormous effort that threat actors put into evading detection and thwarting analysis.
Conclusion
Because Microsoft blocks Office macros in documents from the Internet by default, threat actors are now using alternative methods to distribute malware-most recently, increasingly malvertising. The Formbook family malware is an extremely powerful infostealer used by MalVirt loaders to prevent analysis and detection. Since malvertising allows threat actors to reach a huge audience, this method of malware distribution is expected to increase in the future.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de