Dateiloser Angriff: E-Mail-Kampagnen mit Brushaloader-Malware steigen rasant an

Ciscos Sicherheitssparte Talos meldet auffallend verstärkte Brushaloader-Kampagnen, die Danabot und andere Malware verteilen. Die Sicherheitsforscher beschreiben Brushaloader als derzeit „dateilosen“ Loader, für den der Einsatz verschiedener Scripting-Elemente wie PowerShell typisch ist, um die auf einem infizierten System verbleibenden Spuren zu minimieren.

Dateilose Schadprogramme sind zunächst nur im Arbeitsspeicher aktiv und werden nicht auf die Festplatte geschrieben. Da diese bislang wenig verbreitete, aber zunehmende Form von Bedrohungen Spuren auf dem Laufwerk nach Möglichkeit vermeiden, entgehen sie leicht einer Erkennung durch übliche Sicherheitslösungen.

„Brushaloader wird ständig weiterentwickelt“, erklärt Threat Researcher Nick Biasini von Cisco Talos. „Wir haben seit Mitte 2018 mehrere Iterationen dieser Bedrohung identifiziert. Die meisten Malware-Verteilungsaktivitäten, die wir im Zusammenhang mit Brushaloader beobachtet haben, richten sich an bestimmte geografische Regionen. Talos hat in jüngster Zeit einen deutlichen Anstieg der Aktivitäten im Zusammenhang mit Brushaloader festgestellt sowie die Nutzung verschiedener Techniken und Funktionen, die zu deutlich niedrigeren Erkennungsraten führen.“

In einem Blogeintrag geben die Sicherheitsforscher einen ausführlichen Überblick über die verschiedenen Versionen von Brushaloader, seine Verteilung von Malware sowie seine Strategien, um einer Erkennung durch übliche Sicherheitslösungen zu entgehen. Um dateilosen Bedrohungen dennoch auf die Spur zu kommen, greift Microsoft mit Windows Defender ATP inzwischen auf einen Erkennungsmechanismus zurück, der Laufzeit-Aktivitäten und nicht nur ein statisches Script auswertet.

Die erste Brushaloader-Kampagne fiel im August 2018 auf und zielte zunächst nur mit polnischsprachigen E-Mails auf Opfer in Polen. Angewandt wurde aber schon die grundsätzliche Methode, über ein angehängtes RAR-Archiv ein Visual-Basic-Script auszuliefern, das für eine Brushaloader-Infektion sorgen sollte, gefolgt vom Herunterladen und der Ausführung von Danabot. Das Script kommunizierte mit einem Kommando-und Kontrollserver via WScript und einer fest eingestellten IP-Adresse.

Die Kampagne setzte immer wieder eine Woche oder zwei Wochen aus, um dann mit einer ausgefeilteren Version der Malware fortgesetzt zu werden, die eine Entdeckung noch effektiver zu vermeiden suchte. Gegen Ende Oktober gingen die Hintermänner schließlich zu einer Spam-Kampagne mit weiteren Sprachen über, darunter Deutsch und Italienisch. Eine deutschsprachige E-Mail bezog sich im Betreff auf eine anstehende Einkommensteuererklärung und führte im Text eine Liste unbeglichener Rechnungen an, die umgehend zu begleichen seien – begleitet von einem mit „Faktura“ bezeichneten Anhang.

Gegen Ende Januar bewegte sich eine neue Kampagne weg von WScript – das zuvor zur Ausführung von Befehlen, dem Sammeln von Systeminformationen und dem Nachladen von Malware-Payloads genutzt wurde – und hin zu Windows PowerShell. Laut Talos verfügte diese Kampagne bereits über einen Umfang, der eine weitere Verbreitung des Loaders über Europa hinaus erwarten ließ.