Die Malware sucht nach Gesundheitseinrichtungen
Der VLC-Multimedia-Player wird verwendet, um Cobalt Strike-Beacons an Ziele in Australien zu liefern.
Die Kampagne umfasst SEO-Poisoning und den Gootkit-Loader-Malware-Tab und richtet sich an Opfer, die nach Gesundheitseinrichtungen in Australien suchen.
Trend Micro entdeckte den Angriff und beschrieb, wie die Angreifer eine bösartige Website erstellten, die wie ein Forum aussah, auf der ein Benutzer als Antwort auf a Abfrage.
Um der Website einen hohen Rang bei Google zu verschaffen, „vergifteten“ sie die Ergebnisseiten der Suchmaschinen, indem sie den Link zu der bösartigen Website in Social-Media-Beiträgen hinzufügten.
Durch die Erstellung stark verlinkte Websites werden vom Algorithmus von Google als maßgebend angesehen und auf den Ergebnisseiten nach oben verschoben.
In dieser Kampagne , stellten die Forscher fest, dass die bösartige Website bei medizinbezogenen Schlüsselwörtern wie „Krankenhaus“, „Gesundheit“, „medizinisch“ und „Vereinbarung“ – gepaart mit den Namen von Städten in Australien – einen hohen Rang einnimmt.
Opfer die auf den Trick hereinfallen und das schädliche ZIP-Archiv auf ihre Endpunkte herunterladen, würden Gootkit-Loader-Komponenten erhalten, die später ein PowerShell-Skript ablegen, das weitere Malware auf das Zielgerät herunterlädt. Unter den Dateien befindet sich eine legitime, signierte Kopie des VLC Media Players und eine bösartige DLL-Datei, die, wenn sie ausgelöst wird, das Cobalt Strike Beacon einsetzt.
Die VLC Media Player-Datei ist der Microsoft Distributed Transaction Coordinator (MSDTC ) Service. Wenn der Benutzer es ausführt, sucht VLC nach der DLL-Datei und führt sie aus, wodurch das Gerät infiziert wird, was allgemein als Side-Loading-Angriff bekannt ist.
Cobalt Strike ist ein kommerzielles Pentest-Tool, das dem Benutzer erlaubt um einen Agenten namens „Beacon“ auf dem Opfercomputer bereitzustellen. Cyberkriminelle verwenden es, um das Zielnetzwerk zu scannen, sich seitlich zu bewegen, Passwörter und andere sensible Daten zu stehlen und verheerendere Malware einzusetzen. Auf Cobalt Strike-Beacons folgt häufig ein Ransomware-Angriff.