Nslookup wird der Treiber der schädlichen Kette

In den letzten Wochen hat die Sicherheitsgemeinschaft erneut vor einer sozialen Engineering-Taktik gewarnt, die das Vertrauen der Nutzer in ihren eigenen laufenden schädlichen Code auf ihrer Ausrüstung ausschöpft. Microsoft war einer von denen, die die Alarm-Stimme durch die Dokumentierung einer ClickFix-Variation, die Vorteile von DNS-Abfragen, um "Punkt" die nächste Phase des Angriffs, eine elegante Technik, weil es ein natives Windows-Tool als Lieferfahrzeug verwendet: nslookup wird der Treiber der schädlichen Kette. Die technische Erklärung von Microsoft ist in seiner öffentlichen Kommunikation über die Forschung verfügbar: MsftSecIntel in X, und für jeden, der verstehen will, wie nslookup funktioniert, gibt es offizielle Dokumentation in Microsoft Docs und praktische Anleitungen wie Linode.

Die Geschichte, auf einfache Weise gezählt, ist wie folgt: Das Opfer segelt auf eine kompromittierte oder schädliche Seite, die eine überzeugende Nachricht zeigt - zum Beispiel eine falsche CAPTCHA oder "Lösung" Anleitung - und fordert ihn, einen Befehl aus der Run Windows Box auszuführen. In der neuen Variante ruft dieser Befehl cmd.exe an und verwendet nslookup auf einen DNS-Server, der vom Angreifer gesteuert wird, anstatt den Systemresolver zu verwenden. Das Ergebnis dieser Konsultation enthält unter anderem ein Name: Feld und die Explosionsfilter, die es als die Ordnung behandeln, die die nächste Stufe ausführen wird. Es ist eine Form von "Lichtzeichen" durch DNS: Angreifer können damit bestätigen, dass das Ziel bereit ist und das bösartige Verhalten wie legitimer DNS-Verkehr aussehen lässt, der oft unbemerkt wird.

Dieser Ansatz hat zwei Vorteile für den Aggressor. Zum einen reduziert es die Abhängigkeit von klassischen HTTP-Anfragen, die einfacher zu kontrollieren und zu blockieren sind; zum anderen nutzt es die Art des DNS-Verkehrs, um in das Netzwerk zu gelangen. Microsoft weist darauf hin, dass diese Taktik auch eine vorherige Überprüfung hinzufügen kann, bevor Sie die endgültige Nutzlast liefern, eine zusätzliche Kontrollschicht, die die Erkennung erschwert. Der technische Leser kann die Idee vertiefen, DNS als Kanal in Microsoft-Analysen und Community-Diskussionen zu verwenden.

Was passiert nach dieser ersten DNS-Beratung? In der beobachteten Kampagne fällt die Angriffskette eine komprimierte Datei von einem externen Server (in der Analyse als "azwsappdev [.] com" identifiziert), extrahieren Sie ein Python-Skript, das Systemerkennung und Informationen durchführt, pflanzen Sie ein VBScript, das wiederum eine RAT namens ModeloRAT startet und den dauerhaften Zugriff auf die Erstellung eines direkten Zugriffs (LNK-Datei) im Windows Start-Ordner gibt. Das heißt, was als Bestellung beginnt, die der Benutzer manuell einführt, kann mit Fernbedienung über die Maschine und Beharrlichkeit nach dem Neustart beenden.

Parallel zu dieser Art von Missbrauch haben Cyber-Sicherheitsfirmen einen Rebound in der Aktivität von Informationsdieben (Stahlspieler) und in Fahrern, die als Brücke für sie dienen. Bitdefender dokumentierte beispielsweise eine Lumma Stealer Renaissance, die sich durch falsche CAPTCHA-Kampagnen mit einem Ladegerät namens CastleLoader ausbreitet. Dieser Ladegerät, heute in AutoIt-Versionen, beinhaltet Kontrollen, die versuchen, virtuelle Maschinen oder bestimmte Sicherheitsprodukte zu erkennen, bevor Sie den Stealer im Speicher entschlüsseln und ausführen, was es schwierig macht, zu analysieren und zu reagieren (Bitdefender-Bericht: wohnzimmer.de)

Die Branche hat mehrere Varianten gesehen: CastleLoader wird von angeblich gehackten Programm-Installatoren oder Dateien, die wie MP4-Videos aussehen, aber das sind böswillig ausführbar; andere Kampagnen haben falsche NSIS-Installateure verwendet, die VBA-Skripte laufen ostracized vor dem Start des AutoIt-Laders; und es gibt noch Familien von alternativen Ladegeräten wie RenEngine dual Loader, die nach Kaspersky zu verbreiten diente → Die geografische Aufzeichnung dieser Infektionen zeigt, dass keine Region völlig sicher ist: berichtet von Ländern wie Indien, Frankreich, USA. Vereinigte Staaten, Spanien, Deutschland, Brasilien und Mexiko ( Kaspersky Securelist)

Nicht nur Windows ist auf der Suche. In macOS wurden anspruchsvolle Kampagnen beobachtet, die gezielt Geld in Kryptowährung und Anmeldeinformationen suchen. Ein Beispiel ist Odyssey Stealer, beschrieben von Censys die nicht nur Daten von Erweiterungen und Portemonnaie-Anwendungen stiehlt, sondern auch einen persistenten Dienst installiert, der den Befehls- und Steuerserver jede Minute konsultiert und SOCKS5-Tunnel zum Routing-Verkehr öffnen kann. Die Angreifer wissen, dass Mac-Nutzer mit Vermögenswerten in Kryptomonedas umgehen und auf diese Wertkonzentration hinweisen.

Es gibt auch kreative und besorgniserregende Social Engineering-Taktiken, die künstliche Intelligenz und Werbedienste nutzen. Die Forschung hat gezeigt, wie schädliche Akteure gesponserte Ergebnisse und öffentliche Seiten auf generativen Modellplattformen verwenden (z.B. Links, die auf Anweisungen verlinken, die in Diensten wie Claude gehostet werden) um legitime Anweisungen, die die Ausführung von Befehlen auf macOS oder Windows induzieren; AdGuard dokumentiert Fälle, in denen eine Anzeige zu einer bekannten legitimen Domain führt, aber die Kette endet die Verteilung von Malware durch offenbar technische und Vertrauens Anweisungen ( AdGuard) Darüber hinaus haben Analysten wie Moonlock Lab darauf hingewiesen, dass Angreifer alte Domains mit Geschichte neuwerten, um Filter zu vermeiden und ein Gefühl der Legitimität, einen Trick, der einfache Blockaden kompliziert ( Mondlock Lab)

Angesichts dieses Szenarios ist Prävention weniger durch magische Patches und mehr durch Gewohnheiten und Kontrollen: nicht Befehle ausführen, die Sie per Web oder per Post erhalten, ohne sie zu überprüfen, Misstrauen der vermeintlichen CAPTCHAs, die nach atypischen Handlungen fragen, vermeiden Sie das Herunterladen von "Kissen" oder gepirierte Software und pflegen aktuelle Sicherheitstools. Für Unternehmensumgebungen ist es wichtig, Erkennungen zu haben, die bestimmte Verhaltensweisen von macOS und Windows versteht - zum Beispiel die Schaffung von LaunchDaemons, Zugang zu Keychain, ungewöhnliche Verwendung von Terminal oder Ausführung von Binaries von Apple mit unerwarteten Aktionen -, etwas, das Analysten wie Flare in ihrer Überprüfung der Welle von Stehlen für macOS empfehlen ( Flammen)

Kurz gesagt, die Angreifer hängen nicht mehr nur von technischen Schwachstellen ab: sie nutzen Vertrauen und Brauch. Wenn eine Seite Sie bittet, Run oder Terminal zu öffnen, um "fix" etwas, das ist eine rote Flagge. Cybersecurity erfordert heute eine Kombination von Benutzererziehung, angepassten technischen Kontrollen und Überwachung in der Lage, diskrete Kanäle wie DNS-Missbrauch oder Kettenlader zu erkennen. Für Systemmanager ist die Lektion klar: eine Menge Auge mit Abkürzungen, die schnell und komfortabel erscheinen, denn manchmal sind sie genau der Mechanismus, der es dem Angreifer ermöglicht, durch die Haupttür zu gelangen.