Das ThreatLabZ-Sicherheitsteam von Zscaler hat einen neuen Remote Access Trojaner (RAT) entdeckt, der aufgrund der einzigartigen Zeichenfolge in der finalen Payload auf den Namen ShellReset getauft wurde. Im Februar und Mai 2020 wurden vier bösartige makrobasierte Microsoft Word-Dokumente entdeckt, die auf neu registrierten Webseiten mit den Top-Level-Domains „.space“ und „.xyz“ gehostet wurden.
Die Researcher schreiben alle Angriffe aufgrund von ähnlichen Taktiken, Techniken und Verfahren (TTPs) zur Bereitstellung der endgültigen Payload dem gleichen Cyberkriminellen zu.
Die finale .NET-Payload war, soweit Zscaler bekannt, zuvor noch nicht „in the wild“ aufgetaucht. Sie enthält einen kleinen Codeabschnitt, der sich mit dem des QuasarRAT überschneidet. Aufgrund der wenigen Fälle, die in der Praxis beobachtet wurden, gehen die Sicherheitsforscher von gezielten Angriffen mit geringem Volumen aus. Die Cyberkriminellen nutzen wie so oft die Aufmerksamkeit rund um publikumswirksame Events, um ihren Schadcode zu verbreiten.
Strategie zur Verbreitung des RAT
Die Infektionskette beinhaltet eine Reihe von interessanten Techniken. So wird beispielsweise das Kompilieren der Payload in Runtime unter Verwendung vertrauenswürdiger Windows-Utilities eingesetzt, um Sicherheitsmechanismen zu unterlaufen. Die nachfolgenden Schritte werden durch den Download von verschleiertem Quellcode vom Server des Angreifers eingeleitet.
Erstmalig wurde die Malware-Kampagne im Zusammenhang mit den zwei Events 5G Expo und Futurebild am 24. Februar 2020 in Dokumenten mit dem Dateinamen 5GExpo.doc und FutureBuild.doc beobachtet, wobei jeweils Anmeldungs-Gutscheine für die Veranstaltungen nachgeahmt wurden. Diese beiden Dokumente wurden auf der Domäne „documentsharing[.]space“ gehostet, die am 21. Oktober 2019 registriert worden war.
Im Folgenden tauchten mit Schadcode infizierte Dokumente wieder im Mai auf einer weiteren Domäne auf. Dabei bedienten sich die Cyberkriminellen Textpassagen von legitimen Webseiten, um Authentizität ihre Inhalte zu suggerieren. Diesmal wurde die populäre Seite "anonfiles.com" zum Hosten des Dokuments nachgeahmt.
Auffällig war allerdings die einheitliche Vorgehensweise in den URLs, die die Dokumente beinhalteten. Es wurde jeweils der Parameter “?clientEmail=” eingebaut, der die Emailadresse des Users beinhaltete, auf den ein gezielter Angriff ausgerichtet wurde.
Sobald das makrobasierte Dokument geöffnet wird, erscheint der Hinweis, dass der Anwender Makros aktivieren muss, um die Inhalte des Dokuments zu sehen. Daraufhin wird die Auto_Open() Routine des Makros gestartet und der Angriff auf das betroffene System ausgeführt. In diesem Zug wird die genaue Identität des betroffenen Systems erfasst und die Windows Sicherheitsmaßnahmen außer Kraft gesetzt.
Nach erfolgreicher Registrierung des Bots auf dem C&C Server können vier Operationen ausgeführt werden, darunter das Ausführen von Code auf dem infizierten Rechner und im Folgenden das Auslesen aller Dateien eines bestimmten Pfads, bzw. die Remote gesteuerte Aufnahme von Screenshots des Systems.
Als Sicherheitsmaßnahme empfehlen die Zscaler ThreatLabs-Analysten das Überprüfen der Quelle der übersendeten Dokumente und zwar bevor diese geöffnet werden. Als zusätzliche Vorsichtsmaßnahme sollten Benutzer keine Makros für Microsoft Office-Dateien aktivieren, die nicht von vertrauenswürdigen Quellen stammen, um das Ausführen von bösartigem Code zu verhindern.