Neue Adwind-Variante zielt auf Windows-Chromberechtigungen

Eine neue Version des typischerweise plattformunabhängigen Adwind-Trojaners wurde entdeckt, der auf Windows-Anwendungen und -Systeme sowie auf Chrom-basierte Browser abzielt.

Eine neue Version des Adwind-Trojaners für den Fernzugriff (RAT) wurde entdeckt, der auf neue Ziele abzielt.

Adwind (auch bekannt als JRAT oder SockRat) ist ein Java-basierter Trojaner für den Fernzugriff, der Daten - hauptsächlich Anmeldeinformationen - von den Rechnern der Opfer ausspürt. Während Adwind in der Vergangenheit plattformunabhängig war, haben Forscher nach eigenen Angaben eine neue, vier Monate alte Version entdeckt, die speziell auf Windows-Anwendungen wie Explorer und Outlook sowie auf Chromium-basierte Browser (Chromium ist ein kostenloser, von Google entwickelter Open-Source-Webbrowser) abzielt, darunter auch neuere Browser wie Brave.

Der Tausch in der Zielerfassung "zeigt, dass die Angreifer die neu veröffentlichten Anwendungen, die bei den Endnutzern an Attraktivität gewinnen, genau verfolgen und ihre RAT-Funktionalität anpassen, um Informationen aus diesen neuen Anwendungen zu stehlen", sagte Krishnan Subramanian, Sicherheitsforscher bei Menlo Labs, gegenüber Threatpost.

Bei der neuen Variante handelt es sich um eine JAR-Datei (Java ARchive; ein Paketdateiformat, das typischerweise zum Aggregieren vieler Java-Klassendateien verwendet wird), die laut den Forschern typischerweise über einen Link in einer Phishing-E-Mail zugestellt oder von einer legitimen Website heruntergeladen wird, die unsichere Inhalte von Dritten anbietet.

Die Forscher gaben an, dass sie auch viele Infektionen beobachtet haben, die von veralteten WordPress-Sites stammen, die "aufgrund der Schwachstellen in der Veröffentlichungsplattform immer beliebter werden".

"Wenn man sich den Anstieg der Zahl der WordPress-Schwachstellen ansieht, die in der freien Natur ausgenutzt werden, glauben wir, dass die ursprüngliche JAR-Datei von kompromittierten WordPress-Servern aus zugestellt wurde", sagte Subramanian gegenüber Threatpost.

Nach der Zustellung verschleiert diese neue Adwind-Variante die ursprüngliche JAR-Datei und blockiert alle signaturbasierten Erkennungsmethoden.

"Malware, die sich gemeinsame Java-Funktionalität zunutze macht, ist bekanntermaßen schwer zu erkennen oder in einer Sandbox zu detonieren, allein schon deshalb, weil Java im Web so verbreitet ist", so Forscher von Menlo Security in einem Dienstagbeitrag. "Tatsächlich würde jede Bemühung, Java zu blockieren oder einzuschränken, dazu führen, dass ein großer Teil des Internets zusammenbricht - ein Ausweg für Benutzer, die für ihre täglichen Aufgaben zunehmend auf reichhaltige Webanwendungen oder SaaS-Plattformen angewiesen sind.

Die JAR-Datei entschlüsselt und lädt dann einen Loader, der dann einen anfänglichen Satz von Modulen lädt und eine Anforderung sendet, die für die Initialisierung der RAT mit dem Command-and-Control (C2)-Server verantwortlich ist.

Adwind ist dann in der Lage, eine Konfigurationsdatei zu entschlüsseln, um eine Liste von C2-Server-IP-Adressen zu erhalten. Sobald eine Adresse ausgewählt ist, wird eine AES-verschlüsselte Anfrage (über TCP-Port 80) gestellt, um einen Satz zusätzlicher JAR-Dateien aus der Ferne zu laden, so die Forscher.

Nach dem Herunterladen aktivieren die JAR-Dateien den Trojaner, der voll funktionsfähig wird und in der Lage ist, eine C2-Anforderung für den Zugriff auf und das Senden von Anmeldeinformationen vom Browser und verschiedenen Windows-Anwendungen an einen entfernten Server zu senden.

Diese Anmeldedaten können persönliche Bankdaten oder Anmeldungen für Geschäftsanwendungen enthalten - im Grunde jedes Passwort, das in einem Browser oder einer Anwendung unter Windows gespeichert ist.

Adwind gibt es schon seit einer Weile, aber es macht weiterhin Wellen mit sich entwickelnden Varianten und neuen Zielen.

Der Trojaner wurde zuletzt in einer Phishing-Kampagne im August 2019 gesehen, die auf die Infrastruktur der nationalen Netzbetreiber abzielte. Adwind wurde in dieser Kampagne als Malware-as-a-Service-Modell eingesetzt, so die Forscher, mit Funktionen wie der Möglichkeit, Screenshots zu machen, Zugangsdaten von Chrome, Internet Explorer und Microsoft Edge zu sammeln, Video- und Audioaufnahmen zu machen, Fotos zu machen, Dateien zu stehlen, Keylogging durchzuführen, E-Mails zu lesen und VPN-Zertifikate zu stehlen.

Adwind hat sich die Umgehung und Deaktivierung von Sicherheitstools zum Markenzeichen gemacht. Im letzten Jahr ist eine neue Variante aufgetaucht, die eine neue Version der DDE-Code-Injektionstechnik (Dynamic Data Exchange) zur Umgehung von Viren verwendet.

Vor allem ist der Adwind-Trojaner in der Lage, sein Verhalten zu maskieren, indem er sich wie jeder andere Java-Befehl verhält, so die Forscher.

"Ohne eine dynamische Konstruktion der ursprünglichen JAR-Datei verfügt die Bedrohungsintelligenz nur über eine sehr geringe oder gar keine Heuristik, mit der eine statische Regel oder Signatur erstellt werden kann, die die ursprüngliche JAR-Nutzlast unter den Millionen von Java-Befehlen, die in das Unternehmensnetzwerk ein- und aus diesem herausfließen, effektiv erkennen kann", so die Forscher. "Es ist, als würde man durch eine Menschenmenge von einer Million Menschen waten und versuchen, die eine Person herauszufinden, die ein grünes Unterhemd trägt, ohne unter die Jacken der Leute schauen zu können. Es gibt nichts Verdächtiges über seine Existenz, sein Aussehen oder sogar sein anfängliches Verhalten. Alles an ihm scheint normal zu sein".