In den letzten Monaten ist eine Infektionskette entstanden, die klassische Sozialtechnik mit zunehmend raffinierteren Techniken kombiniert, um unbemerkt zu passieren. Die Forscher BlackPoint Cyber haben eine Kampagne dokumentiert, die einen falschen Verifikations-Seitentyp CAPTCHA verwendet, um den Benutzer zu täuschen und ihn dazu zu bringen, einen Befehl aus der Run Windows Box einzufügen und auszuführen. Was mag wie ein einfacher Trick scheinen, ist nur das erste Stück einer Sequenz entworfen, um System legitime Nutzen zu verwenden und bösartige Aktivität zu verstecken.
Der vertrauenswürdige Vektor hier ist Microsoft Application Virtualization (App-V), eine geschäftsgerichtete Funktionalität, die es Ihnen ermöglicht, Paketanwendungen in virtualisierten Umgebungen auszuführen, ohne sie in traditioneller Weise zu installieren. In dieser Kampagne missbrauchen die Angreifer ein legitimes Skript, das mit App-V, SyncAppvPublishingServer.vbs verbunden ist, und führen es mit wscript.exe - einer binären Signatur von Microsoft -, um PowerShell zu starten. Auf diese Weise drehen sie eine offizielle Komponente in einen Proxy, um schädlichen Code auszuführen, eine Technik bekannt, um System binäre zu verwenden, um Sicherheitskontrollen zu umgehen und dass in Bezug auf ATT & CK mit der Verwendung von legitimen Systemtools wie T1218 ( Lebensversicherungen)
Vor dem Weiterführen des Befehls, dass das Opfer an einer Reihe von Bedingungen festhalten muss: Überprüfen Sie, ob die Aktion von einer Person durchgeführt wurde (nicht eine automatisierte Sandbox), überprüfen Sie die erwartete Ausführungsordnung und überprüfen Sie sogar, ob die Zwischenablage nicht geändert wurde. Wenn Sie Anzeichen einer automatischen Analyse erkennen, ist die Ausführung "gefroren" durch unendliche warten, um die Analyseressourcen zu nutzen. Erst wenn die Bedingungen der Angreifer erfüllt sind, lädt die Kette weiterhin Konfigurationsparameter aus einer öffentlichen Ressource von Google Calendar herunter: Werte werden in Basis64 innerhalb eines bestimmten Ereignisses kodiert.
Die Raffinesse nimmt in den folgenden Phasen zu. Die Angreifer starten einen 32-Bit-PowerShell-Prozess versteckt durch Windows Management Instrumentation (WMI), entschlüsseln eingebettete Lasten und Lastkomponenten direkt in den Speicher. Später verbergen sie eine verschlüsselte Nutzlast innerhalb von PNG-Bildern, die in der öffentlichen CDN gehostet werden: Sie verwenden die weniger signifikante Bit- Steganographie, um Daten in Pixel einzufügen, sie wiederherstellen diese Bilder mit dynamisch aufgelösten Wininet-Anrufen, extrahieren die versteckten Bits, entschlüsseln das Ergebnis und dekomprimieren es (GZip) vollständig im Speicher. Das Opfer wird selten Dateien auf der Festplatte sehen; alles geschieht auf RAM.
Die letzte Phase der Kette defiguriert und führt nativen Code im Speicher, der Amatera entfaltet, ein Info-Stahler, der laut BlackPoint Anmeldeinformationen und Browserdaten stiehlt und, durch Überlappung Code, von dem bekannten ACR-Stecker ableitet. Amatera wird als Malware-as-a-Service (MaaS) vermarktet und hat Vermeidungsmechanismen in jede Iteration integriert; vorherige Analyse von Nachweis zeigen ihre Entwicklung zu anspruchsvolleren Techniken.
Sobald aktiv, Malware kontaktiert einen Hard-Control-Server (hardcoded), um Endpoints Karten zu erhalten und bleibt warten auf zusätzliche Anweisungen oder Binaries von POST HTTP geliefert. Dieses Verhalten macht die Netzwerkerkennung noch sehr nützlich: Verkehrsmuster, Domänen und Diskrepanzen zwischen HTTP- oder SNI TLS-Headern gegen die Ziel-IP-Adresse sind Indikatoren, die schädliche Kommunikation offenbaren können.
Wenn Sie sich fragen, warum diese Kampagne trotz bestehender Schutzmaßnahmen funktioniert, ist die Antwort in der Mischung von zwei Faktoren: Trick die Person, um einen legitimen Befehl zu führen und dann unterschriebene Windows-Komponenten oder öffentliche Dienste (Google Calendar, CDNs) verwenden, um Konfiguration und Nutzlasten aufzunehmen und wiederherzustellen. Diese Kombination reduziert typische Malware-Signale und erschwert die Identifizierung durch traditionelle Signaturen.
Um das Risiko zu reduzieren, gibt es eine Reihe von praktischen Maßnahmen, die berücksichtigt werden müssen. Auf administrativer Ebene kann die Begrenzung des Zugriffs auf den Tabellenlauf nach Gruppenrichtlinien verhindern, dass Nutzer beliebige Befehle treffen und ausführen; wenn die App-V-Funktionalität in einer bestimmten Umgebung nicht erforderlich ist, verringert die Beseitigung die ausbezahlbare Oberfläche. Auf der Erkennungsebene erhöht die Aktivierung des erweiterten PowerShell-Datensatzes (einschließlich des Block Logging Script) die Sichtbarkeit über Befehle und Fragmente, die im Speicher ausgeführt werden, und die Überwachung von ausgehenden Verbindungen durch die Suche nach Fehlanpassungen zwischen dem Hostnamen im HTTP-Header oder dem SNI TLS und der Ziel-IP hilft, verdächtige Kommunikationen zu identifizieren. Microsoft unterhält nützliche Dokumentationen über App-V und die beteiligten APIs; für diejenigen, die Windows-Umgebungen verwalten, bietet die Überprüfung des offiziellen Leitfadens einen zuverlässigen technischen Rahmen: Dokumentation der App-V, Wininet und PowerShell Registrierungsoptionen.
Nicht alles ist technische Konfiguration: Benutzererziehung bleibt der Schlüssel. Distrust-Seiten, die Browser-Probleme oder menschliche Verifikation simulieren und ungewöhnliche Handlungen - wie das Schlagen eines Befehls in Run - verlangen, ist eine einfache und sehr effektive Verteidigung. Organisationen sollten Schulungen, Plattformsteuerungen und Netztelemetrie kombinieren, um Angriffsketten zu adressieren, die von der menschlichen Manipulation und dem Missbrauch legitimer Komponenten abhängen.
Die von BlackPoint beschriebene Kampagne erinnert daran, dass die Gegner ihre Methoden weiter anpassen: Sie vermischen Social Engineering mit signierten Artefakten und Techniken wie der Steganographie, um ihren Fußabdruck zu reduzieren. Die Aufrechterhaltung aktueller Systeme, die Minimierung des Vorhandenseins nicht wesentlicher Komponenten und die Ermöglichung angemessener Aufzeichnungen und Überwachung sind praktische Schritte, die die Kosten des Erfolgs für diejenigen, die diese Infektionsketten entwerfen, erheblich erhöhen. Für weitere technische Details und Minderungen, die von Forschern vorgeschlagen werden, überprüfen Sie BlackPoints Analyse auf Ihrem Blog und Proofpoints Bericht über die Evolution von Amatera: BlackPoint Cyber und Nachweis.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...