Categories: CyberkriminalitätSicherheit

Hackergruppe DarkHydrus verbreitet Trojaner per Google Drive

Die Hackergruppe DarkHydrus, die von Kaspersky Lab auch als Lazy Meerkat bezeichnet wird, geht derzeit offenbar gegen politische Ziele im Mittleren Osten vor. Das hat eine Analyse von Forschern von 360 Threat Intelligence ergeben. Demnach läuft die neue Kampagne, bei der auch Googles Cloud-Speicher Drive zum Einsatz kommt, mindestens seit Anfang Januar.

Am 9. Januar entdeckten die Forscher eine gefährliche Excel-Tabelle. Das in Arabisch verfasste Dokument enthielt ein VBA-Macro, das beim Öffnen der Datei ausgeeführt wird. Es legt eine Textdatei in einem temporären Verzeichnis ab und nutzt das Windows-TERegistry-Tool regsvr32.exe, um die Textdatei zu verarbeiten. Dadurch wird wiederum ein PowerShell-Skript erzeugt, das Base64-Inhalt entpackt um eine Datei namens OfficeUpdateService.exe zu starten. Dabei handelt es sich um eine in C# geschriebene Backdoor.

Bei der Backdoor handelt es sich um eine Variante des Trojaners RogueRobin. Er legt Einträge in der Registrierungsdatenbank an, um sich dauerhaft einzunisten. Zudem nutzt er verschiedene Techniken, um einer Entfernung zu entgehen. Unter anderem kann er virtuelle Maschinen und Sandboxes erkennen. Zudem fanden die Forscher speziellen Anti-Debug-Code.

Forscher von Palo Alto Networks, die sich ebenfalls mit der neuen Variante von RogueRobin beschäftigt haben, fanden heraus, dass es der Trojaner auf Systemdaten wie Hostnamen abgesehen hat, die an einen Befehlsserver im Internet geschickt werden. Dafür wird ein DNS-Tunnel benötigt. Steht dieser nicht zur Verfügung, kommt Google Drive als alternative Lösung zur Speicherung von Dateien zum Einsatz.

Die Hacker sind mindestens seit 2017 mit mehreren Kampagnen aufgefallen, um Anmeldedaten zu stehlen. Meistens kommen dabei Spear-Phishing-E-Mails zum Einsatz, die Nutzer dazu verleiten sollen, ihre Daten in gefälschte Formulare einzugeben, von wo aus sie auf von den Hackern kontrollierten Servern landen. Die schädlichen Dokumente sollen die Hacker unter anderem mithilfe von Open-Source-Phishing-Tools erstellen.

ANZEIGE

Die Cloud in kleinen Contact Centern: die Stunde der Wahrheit

Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.

Jetzt kostenlos herunterladen
Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: CybercrimeExcelHacker
6 Jahren ago

Recent Posts

UPDF: PDF-Software zu einem Viertel des Preises von Adobe

PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!

7 Stunden ago

Neuer Bedarf an Workplace Services durch DEX und KI

ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.

7 Stunden ago

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

1 Tag ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

1 Tag ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

2 Tagen ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

2 Tagen ago