In den letzten Tagen wurde eine Taktik, die Computerkriminellen gut kennen, wieder hervorgehoben: um das Interesse der Nutzer an Videospiel-basierten Diensten und Mods zu nutzen, um sie zu täuschen und sie zu schädlichen Code zu führen. Laut Microsoft-Forschung, kriminelle Gruppen verteilen Querschnitte - oder "troyanized" - von Spiel-Tools durch Browser und Messaging-Plattformen; diese Downloads fungieren als Gateway für einen Remote-Zugang Trojan (RAT), der den infizierten Computer in eine ferngesteuerte Maschine verwandelt.
Das Kampagnenskelett zeichnet sich durch seine Verwendung von legitimen Systemwerkzeugen aus, um schädliche Ausführung zu verbergen. Die Angreifer bereiten eine tragbare Java-Umgebung vor und veröffentlichen eine schädliche JAR-Datei (identifiziert als jd-gui.jar), auf PowerShell und System binaries bekannt als LOLBins - zum Beispiel cmstp.exe -, um den Code zu führen, ohne Verdacht zu erhöhen. Microsoft veröffentlichte einen Thread in X, der diese Angriffskette erklärt und wie die Betreiber ihre Tracks löschen, indem sie den ersten Download entfernen und darüber hinaus Ausschlüsse in Microsoft Defender für RAT-Komponenten erstellen: Maßnahmen zur Erkennung und Vermittlung schwierig. Die Microsoft-Benachrichtigung ist auf X hier verfügbar: https: / / x.com / MsftSecIntel / status / 20270355487997998.
Die Beharrlichkeit der engagierten Teams wird dadurch erreicht, dass eine geplante Aufgabe und ein Windows-Start-up-Skript namens "world.vbs" erstellt werden, die sicherstellen, dass bösartige Software den Neustart überlebt und neu gestartet wird. Sobald die Malware aktiv ist, kommuniziert sie mit einem Befehls- und Steuerserver in Richtung 79.110.49 [.] 15, von wo Daten exfiltration, zusätzliche Last-Download und andere Remote-Aktionen bestellt werden können. Microsoft beschreibt diese Familie als "Multifunktion" bedeutet Ladegerät, Download und RAT zugleich, die seine Fähigkeit, sich zu entwickeln und erweitern ihre Auswirkungen auf die infizierte Maschine.
Parallel zu diesen Intrusionen haben Cybersecurity-Unternehmen neue RAT-Familien identifiziert und analysiert, die Funktionen der Gruppe, die früher separat verkauft wurden. Ein jüngstes Beispiel ist Steaelite, gekennzeichnet durch SchwarzFog. Nach dieser Analyse wurde Steaelite in unerlaubten Foren als "bessere Ratte für Windows" mit FOD-Funktionen und Unterstützung für Windows 10 und 11 beworben. Auffällig ist, dass diese Malware in ein einzelnes Web-Panel-Informationsdiebstahl und Ransomware-Bereitstellungsfunktionen integriert, mit einem Android-Modul entwickelt; das heißt, es ermöglicht einem einzigen Operator Zugriff zu verwalten, Anmeldeinformationen zu extrahieren und ciphers aus der gleichen Schnittstelle zu implementieren. BlackFogs Forscher Wendy McCague fasst das Problem in einem besorgniserregenden Bild zusammen: ein einziges Werkzeug, das die doppelte Erpressung durch die Kombination von Exfiltration und Verschlüsselung aus derselben Steuerkarte erleichtert.
Steaelite enthält auch Dienstprogramme, die die Aufgabe des Angreifers erleichtern: Keylogger, Client-to-victim-chat, Dateisuche, USB-Spread, Hintergrund-Modifikation, UAC Bypass und Clipper-Funktionen, um Informationen zu stehlen, die in die Zwischenablage kopiert werden. Es ist kein Zufall, dass diese Suiten auch Mechanismen enthalten, um Verteidigungen zu deaktivieren oder zu verwechseln - Wettbewerber Malware-Entfernung, Microsoft Defender Deaktivierung oder Ausschlüsse Konfiguration - und automatisch Beharrlichkeit zu etablieren.
Im gleichen Ökosystem wurden andere RAT-Familien wie DesckVB und KazakRAT beobachtet, die zeigen, wie Betreiber ihre Fähigkeiten modulieren und nach dem Eindringen selektiv aktivieren. Das Projekt DesckVB ist öffentlich als Forschungsprojekt in GitHub, während die Analyse von KazakRAT die mögliche Verwendung von Stakeholdern, die mit gezielten Kampagnen in Kasachstan und Afghanistan verbunden sind, im Bericht zu finden ist CTG-Alt Intel.
Angesichts dessen sind die spezifischen Verteidigungsempfehlungen einfach im Konzept, erfordern aber Disziplin und geeignete Werkzeuge. Microsoft berät, Verteidigungsausschlüsse und programmierte Aufgaben zu prüfen, schädliche Startaufgaben und Skripte zu entfernen, verpflichtete Endpunkte zu isolieren und die Anmeldedaten von Benutzern, die an betroffenen Maschinen gearbeitet haben, wiederherzustellen. Hinzu kommt, dass es angebracht ist, die Kommunikation zu verdächtigen Domänen oder PIs zu blockieren und zu überwachen - wie die IP im Zusammenhang mit dem zitierten C2 - und die Ausführungsaufzeichnungen ungewöhnlicher Binaries zu überprüfen, um LOLBins Missbrauch zu erkennen.
Neben reaktiven Maßnahmen gibt es vorbeugende Maßnahmen, die dazu beitragen, die Wahrscheinlichkeit einer Infektion zu verringern. Halten Sie die Software auf dem neuesten Stand, vermeiden Sie die Installation von Laufzeiten oder tragbaren Werkzeugen, die nicht aus verifizierten Quellen kommen, überprüfen Sie Unterschriften und Überprüfung Mengen heruntergeladener Dateien und begrenzen lokale Privilegien verhindern, dass ein irreführender Download zu einem anhaltenden Eindringen. Organisationen sollten Integritätsschutz und Manipulationsschutz in ihren Antiviren-Lösungen aktivieren, EDR-Fähigkeiten bereitstellen, die verdächtiges Verhalten (z.B. ungewöhnliche Verwendung von cmstp.exe oder PowerShell) aufzeichnen und eine solide und verifizierte Offline-Backup zur Minderung der Auswirkungen einer möglichen Ansomware haben. Um das LOLBins-Phänomen besser zu verstehen, siehe das LOLBAS-Projekt, das dokumentiert, wie legitime Binäre für schädliche Zwecke verwendet werden: https: / / lolbas-project.github.io /.
Effektive Sicherheit gegen Bedrohungen wie diese kombiniert grundlegende digitale Hygiene, Anwendungskontrollpolitik, Netzwerküberwachung und schnelle Reaktion. Erschöpfen Sie die Einlaufwege - nicht offene Ausführbare, die von unzuverlässigen Quellen heruntergeladen werden, laufende Einschränkungen einrichten und Antimalware-Ausschlüsse überprüfen - reduziert das Risiko erheblich. Für praktische Anleitungen und Widerstandmaßnahmen zur doppelten Erpressung und Ransomware-Bedrohungen, Agenturen wie CISA pflegen Ressourcen und Anleitungen, die als Referenz dienen können: https: / / www.cisa.gov / Ressourcen-tools.
Wenn Sie Ihre Ausrüstung verwenden, um zu spielen oder mit Community-Dienstleistungen, erinnern Sie sich, dass Bequemlichkeit kann eine Kosten haben: unified download and run ist der häufigste Weg, um eine RAT in Ihr System einzutragen. Der Kontrast von Quellen, die Vorsicht mit ausführbaren und eine gute Sicherheitspolitik in Ihrer persönlichen oder geschäftlichen Umgebung sind die besten Verteidigungen für eine Spielsitzung, nicht zu einem unberechtigten Remote-Zugriff zu werden.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...