Shadow Vector: Malware greift kolumbische Firmen mit gerichtsbezogenen SVG-Ködern an

English (EU) Español (Spain) Français 日本語

Autoren: Santiago Pontiroli, Jozsef Gegeny, Ilia Dafchev

Zusammenfassung

Die Acronis Threat Research Unit (TRU) hat eine aktive Malware-Kampagne identifiziert, die Benutzer in Kolumbien angreift und dabei schädliche SVG-Dateien (Scalable Vector Graphics) als initialen Infektionsvektor einsetzt.

Die Angreifer haben Spear-Phishing-E-Mails unter dem Deckmantel vertrauenswürdiger Institutionen in Kolumbien versendet, die SVG-Dateien als Köder mit eingebetteten Links zu JS-/VBS-Stagern (Vorlader-Skripte) enthielten, die auf öffentlichen Plattformen gehostet wurden oder auf kennwortgeschützte ZIP-Dateien verwiesen, die direkt den eigentliche Schadcode (die „Payloads“) enthielten.

Zu diesen Payloads gehörten Remote-Zugriffstools (RATs) wie AsyncRAT oder RemcosRAT, die beide per DLL-Side-Loading und treiberbasierte Techniken zur Rechteausweitung bereitgestellt wurden.

Aktuelle Kampagnen basieren auf mehrstufigen „obfuskierten“ (verschleierten) Payloads und enthalten einen .NET-Loader, dessen Verhalten mit dem Katz Loader (spezielle Schadsoftware zum Nachladen von Malware) übereinstimmt. Dieser Loader verfügt über Fähigkeiten zur Umgehung der Benutzerkontensteuerung (UAC), zur Analyseabwehr, zur Prozessinjektion und zur Persistenz, wobei die Payloads manchmal per Base64-Kodierung in Text- oder Image-Dateien versteckt sind, die aus dem Internetarchiv heruntergeladen werden.

Die Shadow Vector-Kampagne kombiniert herkömmliche Social-Engineering-Techniken, die missbräuchliche Ausnutzung öffentlicher Infrastrukturen sowie verschleierte Ausführungstechniken und spiegelt damit die hochflexible Vorgehensweise und zunehmende technische Professionalität der regionalen Bedrohungsakteure in Lateinamerika wider.

Der aktuelle Schwerpunkt der Malware-Bedrohung richtet sich sowohl gegen Einzelpersonen als auch gegen Unternehmen und ermöglicht Keylogging, den Diebstahl von Anmeldedaten (auch Online-Banking-Anmeldedaten) sowie umfassende Remote-Zugriffe auf kompromittierte Systeme. Während sich die derzeitige Nutzung noch auf den Diebstahl sensibler und vertraulicher Daten konzentriert, lassen die Fähigkeiten dieser Malware darauf schließen, dass sie für destruktivere Aktionen (wie etwa Ransomware-Verbreitung) ausgebaut werden könnte.

Einleitung

Die Acronis Threat Research Unit (TRU) hat eine laufende Malware-Kampagne namens „Shadow Vector“ identifiziert, die aktiv Benutzer in Kolumbien über schädliche SVG-Dateien angreift, die als eilige Gerichtsbenachrichtigungen getarnt sind. Diese betrügerischen E-Mails verwenden SVG Smuggling – ein Angriffsverfahren, das neu in das MITRE ATT&CK-Framework aufgenommen wurde.

SVG Smuggling bezeichnet die missbräuchliche Verwendung von skalierbaren Vektorgrafikdateien, um schädliche Inhalte verbergen oder übertragen zu können. Obwohl es sich hierbei nicht um eine gänzlich neue Taktik handelt, unterstreicht ihre offizielle Anerkennung die zunehmende Verwendung von bisher vertrauenswürdigen, flexiblen Dateiformaten bei modernen Phishing- und Malware-Angriffen. SVG-Dateien werden in Browsern problemlos dargestellt, unterstützen eingebettete Links oder Skripte und können es so ermöglichen, gängige E-Mail-Sicherheitskontrollen zu umgehen.

Sobald sie geöffnet wurden, bewirken diese SVG-Dateien bei den Benutzern, dass die eigentlichen Payloads (Schadprogramme) heruntergeladen und extrahiert werden, die wiederum auf öffentlichen File-Sharing-Diensten (wie Bitbucket, Dropbox, Discord und YDRAY) gehostet werden. Diese heruntergeladenen ZIP-Archive enthalten in der Regel eine Mischung aus an sich legitimen Ausführungsdateien und schädlichen DLL-Dateien, die eine mehrstufige Infektionskette auslösen, an deren Ende AsyncRAT und RemcosRAT stehen – zwei weit verbreitete Remote Access-Tools, die zum Datendiebstahl eingesetzt werden.

Malware-orientierte Bereitstellung

Der Verteilungsmechanismus der Shadow Vector-Kampagne spiegelt eine sorgfältig strukturierte Phishing-Operation wider, die sich Social Engineering-Techniken und das Vertrauen der Öffentlichkeit in nationale Institutionen zunutze macht. Die bei dieser Kampagne beobachteten E-Mails sind so gestaltet, dass sie wie legitime juristische Benachrichtigungen aussehen und SVG-Anhänge enthalten, die im Browser dargestellt werden. Diese Taktik ermöglicht es, die Filterung von Anhängen zu umgehen und Benutzer zu unbedachtem Handeln zu verleiten, ohne Verdacht zu erregen.

Die Inhalte der SVG-Dateien sind optisch einheitlich gestaltet und ahmen oft die Darstellung offizieller Gerichtsdokumente mit minimalen Abweichungen nach. Jede Datei enthält eine Zusammenfassung des Rechtsfalls, gefolgt von einem eingebetteten Link, der meist mit etwas wie „Zugriff auf zusätzliche juristische Dokumente” bezeichnet wird. Diese Links leiten die Benutzer zu ZIP-Archiven weiter, die auf öffentlichen Filesharing-Plattformen (wie Bitbucket, Discord CDN und YDRAY) gehostet werden – eine Methode, mit der Payloads in den regulären Datenverkehr eingeschleust werden und einfache reputationbasierte Erkennungssysteme umgehen können.

Jedes Archiv ist mit einem Kennwort geschützt, das häufig in der entsprechenden SVG-Datei angezeigt oder im Text der Phishing-E-Mail angegeben wird. Diese Taktik erhöht die Einbindung der Benutzer und reduziert automatisierte Überprüfungen, da eine manuelle Extraktion erforderlich ist. Nach dem Entpacken enthält das Archiv eine reguläre Ausführungsdatei, eine vermeintliche harmlose, aber eine Schwachstellen aufweisende DLL-Datei sowie eine einzelne schädliche DLL-Datei, die zum Side-Loading dient. Auf diese Weise kann die Malware innerhalb eines vertrauenswürdigen Prozesses ausgeführt werden und so eine Erkennung umgehen.

Insbesondere der Oberste Justizrat (spanisch: Consejo Superior de la Judicatura) hat eine öffentliche Warnung herausgegeben, in der Justizangestellte und Bürger auf laufende Phishing-Aktivitäten hingewiesen werden, bei denen Kennzeichnungen des Justizwesens missbraucht werden. Die Warnung bezog sich speziell auf E-Mails, die unter dem Vorwand juristischer Angelegenheiten schädliche Anhänge verbreiteten, und mahnte zu erhöhter Wachsamkeit im Umgang mit E-Mails, die zum Herunterladen von Dokumenten auffordern. Außerdem wurden Anleitungen mitgeliefert, wie die Legitimität solcher Mitteilungen überprüft werden kann, und die betroffenen Personen wurden dazu aufgefordert, Phishing-Verdachtsfälle den zuständigen Behörden zu melden.

Fallakte: AsyncRAT via DLL-Side-Loading

In dieser Version der Shadow Vector-Kampagne wird dem Opfer eine Phishing-E-Mail mit einer SVG-Datei zugesandt. Daraufhin wird ein kennwortgeschütztes Archiv heruntergeladen und dessen Inhalt extrahiert. In diesem Archiv befinden sich eine vertrauenswürdig aussehende Ausführungsdatei sowie mehrere DLL-Dateien, von denen eine die Schadsoftware „AsyncRAT“ enthält. Für die wichtigste Ausführungsdatei werden häufig Namen wie vcredist.exe verwendet, um diese harmlos erscheinen zu lassen. Ein gemeinsames Merkmal bei diesen Beispielen ist das Vorhandensein einer Datei namens mscorlib.dll, die immer dieselbe Größe und Struktur aufweist. Diese Datei ist trotz des Namens keine echte .NET-Bibliothek, sondern eine speziell erstellte Datei, die die Malware versteckt. Der Angriff nutzt DLL-Side-Loading, bei dem die unbedenklich aussehende Ausführungsdatei die schädliche DLL-Datei lädt und den AsyncRAT-Infektionsprozess startet.

Per Side-Loading ausgelöste Ausführungskette

Die initiale Ausführungsdatei ist eine reguläre Applikation, die die „BrotliEncoderCreateInstance()“-Funktion aus der Bibliothek „libbrotlicommon.dll“ aufruft. Aufgrund der DLL-Suche-Reihenfolge von Windows lädt das System eine schädliche Version dieser DLL, die sich im gleichen Verzeichnis befindet. Diese DLL-Side-Loading-Technik ermöglicht die Ausführung von durch den Angreifer kontrolliertem Code innerhalb eines vertrauenswürdigen Prozesses und wurde in allen analysierten Samples der Kampagne konsistent beobachtet.

Innerhalb der geladenen DLL wird als erste Aktion ein Handle zur mscorlib.dll-Datei erstellt, die sich am selben Speicherort befindet, und deren Inhalt gelesen. Obwohl die Datei einen gültigen PE-Header enthält, wird sie von mehreren Erkennungstools fälschlicherweise als nicht ausführbare Binärdatei eingestuft. Eine manuelle HEX-Prüfung ergab, dass am Anfang der Datei zusätzlich 9 Bytes eingefügt wurden, wodurch der PE-Header absichtlich verschoben wurde. Diese Manipulation stört das automatisierte Parsing und verursacht Fehler in PE-Erkennungs- und Dekompilierungs-Tools, wodurch sie effektiv als ressourcenschonender Mechanismus zur Analyseverhinderung fungiert.

Die Payload erstellt dann einen vermeintlich vertrauenswürdigen Prozess (AddInProcess32.exe) im Stadium „angehalten“ und führt über Process Hollowing (Kapern eines legitimen Systemprozesses) das Einschleusen und Ausführen des schädlichen Moduls durch. Bei dieser Technik wird Arbeitsspeicher im Zielprozess zugeteilt und der Schadcode (die Payload) mithilfe einer Reihe von Windows-API-Aufrufen (wie NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, Wow64GetThreadContext, NtWriteVirtualMemory, Wow64SetThreadContext und NtResumeThread) geschrieben. Dadurch kann die Malware im Kontext einer vertrauenswürdigen systemeigenen Binärdatei ausgeführt werden und so einer Erkennung entgehen.

Kurz bevor „NtWriteVirtualMemory“ aufgerufen wird, können wir die geladene DLL im Arbeitsspeicher ohne die ersten 9 Bytes sehen, so wie sie in der Originaldatei war. Anschließend wird ein neuer Thread erstellt, dessen Kontext festgelegt und der Thread fortgesetzt. Danach wird das aktuelle Programm beendet.

Nach dem Einschleusen in den laufenden Prozess wird die eigentliche .NET-Payload sichtbar und als AsyncRAT-Client erkannt, der auf einer Open-Source-C#-Implementierung basiert.

Konfiguration

Zu Beginn der Ausführung lädt die Malware ihre Konfiguration, indem sie mehrere AES-verschlüsselte Werte dechiffriert, darunter C2-Server, Installationsflags und andere Laufzeiteinstellungen. Der AES-Schlüssel ist Base64-codiert in das Sample eingebettet. Die Konfiguration kann mit gängigen Tools wie CyberChef und einem bekannten AsyncRAT-Rezept („Recipe“) entschlüsselt werden.

Sobald alle Einstellungen entschlüsselt sind, überprüft die Malware deren Integrität, indem sie den Hash-Wert des entschlüsselten Server-Zertifikats mit dem erwarteten Wert vergleicht. Nachfolgend finden Sie ein Beispiel für eine entschlüsselte Konfiguration, die während der Analyse ermittelt wurde:

Einstellung

Wert

Schlüssel

"zZ5OP9zoIeGTxRmoYxR6XEu0yUxV6wAE"

Ports

7788

Hosts

"asynk02[.]duckdns[.]org"

Version

"| CRACKED BY https://t[.]me/xworm_v2"

Installieren

false

Mutex

"AsyncMutex_6SI8OkPnk"

PasteBin

null

Anti

false

Offline KL

false

BDOS

false

Gruppe

Default

Server-Signatur

"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"

Um zu überprüfen, ob die schädliche Payload in einer Analyseumgebung ausgeführt wird, führt sie mehrere Funktionen aus:

Funktion

Aktion

Hersteller prüfen

Herstellername abrufen und mit „VIRTUAL”, „vmware”, „VirtualBox” abgleichen

Debugger erkennen

„CheckRemoteDebuggerPresent“ ausführen

Sandbox erkennen

Versuchen, den Handle für die Bibliothek „SbieDll.dll” zu erhalten

Laufwerksgröße überprüfen

Überprüfen, ob die Laufwerksgröße kleiner als 61000000000 Bytes ist

Ist XP

Überprüfen, ob das aktuelle System Windows XP ist

Wenn eine dieser Funktionen „true“ zurückgibt, wird „Environment.FailFast()“ aufgerufen, wodurch der Prozess beendet wird.

Installation und Persistenz

Wenn die Einstellung „Installieren“ mit „true“ festgelegt ist, wird eine Funktion aufgerufen, die für Persistenz sorgt. Zunächst kopiert sich die Malware unter Verwendung des Wertes für den Ordner aus der Konfigurationsdatei (sofern vorhanden) in den neuen Pfad und führt dann den Befehl „schtasks“ aus, um die automatische Ausführung bei Anmeldung festzulegen.

Dann wird ein Registry-Schlüssel für den automatischen Start (AutoStart-Funktion) gesetzt. Der Pfad zu diesem Schlüssel wird in umgekehrter Reihenfolge gespeichert. Beispielsweise wird „\nuR\noisreVtenrretnuC\swodniW\tfosorciM\erawtfoS“ anstelle von „Software\Microsoft\Windows\CurrentVersion\Run“ verwendet, eine gängige (und einfache) Technik, mit der Schadprogramme diese Aktion verbergen.

Schließlich wird ein Batch-Skript ausgeführt, das die Payload vom neuen Speicherort aus startet und die alte Version löscht.

Egal, welche Tastatureingabe Sie machen, egal, welche Aktion Sie ausführen – Sie werden beobachtet.

Nach Abschluss der Ersteinrichtung startet die Payload zwei Threads. Der erste Thread überwacht kontinuierlich den Zeitstempel der letzten Benutzereingabe und speichert diesen. Der zweite fungiert als Keylogger, setzt einen Fenster-Hook, um den aktiven Prozess auf dem Bildschirm zu verfolgen, und protokolliert jede Tastatureingabe des Benutzers.

Zur Kommunikation mit dem Server unterstützt die Payload je nach Pastebin-Einstellung verschiedene Verbindungsmethoden. Wenn diese Einstellung auf null gesetzt ist, wird auf eine Domain zurückgegriffen, die in der eingebetteten Konfiguration des Samples spezifiziert wurde. Zunächst wird mit „ClientSocket.IsValidDomainName()“ überprüft, ob der Domain-Name gültig ist. Wenn dieser gültig ist, wird versucht, die Domain mithilfe von „Dns.GetHostAddresses()“ aufzulösen. Anschließend werden alle zurückgemeldeten IP-Adressen schrittweise durchlaufen, um über „ClientSocket.TcpClient.Connect()“ eine Verbindung herzustellen. Wenn eine Verbindung erfolgreich hergestellt wurde („ClientSocket.TcpClient.Connected“), wird die Schleife beendet. Wenn die Domain ungültig ist oder die Auflösung fehlschlägt, wird versucht, eine Verbindung direkt über die ursprüngliche Zeichenfolge und einen vordefinierten Port herzustellen. Diese Logik sorgt für Redundanz, um sicherzustellen, dass die Malware ihre Command-and-Control-Infrastruktur erreicht.

Sobald die Verbindung hergestellt ist, wird die Malware Informationen über das Opfer übertragen (wie etwa Systeminformationen und Metadaten über das ausgeführte Malware-Sample).

Zusätzlich wird die Malware nach Wallets für Kryptowährungen und bestimmten Browser-Erweiterungen suchen, indem sie bestimmte Ordner überprüft. Falls es solche gibt, wird der entsprechenden Wert auf „true“ gesetzt. Die folgende Liste enthält die verwendeten Bezeichner (IDs):

Meta_Firefox, Meta_Chrome, Meta_Brave, Meta_Edge, Meta_Opera, Meta_OperaGX, Phantom_Chrome, Phantom_Brave, Binance_Chrome, Binance_Edge, TronLinkChrome, Exodus_Chrome, BitKeep_Chrome, CoinBase_Chrome, Ronin_Chrome, Trust_Chrome, BitPay_Chrome, F2a_Chrome, F2a_Brave, F2a_Edge, Ergo_Wallet, Ledger_Live, Atomic, Exodus, Electum, Coinomi, Binance, Bitcoin_Core

Der Client empfängt die Daten vom Server in einem codierten Format. Zuerst wird der Inhalt mit der Funktion „Zip.Decompress()“ dekomprimiert, dann wird die Nachricht decodiert. Nachdem ein Byte aus der Nachricht gelesen wurde, wird dieser mit vordefinierten Werten verglichen. Je nach Ergebnis werden verschiedene Aktionen ausgeführt – wie etwa „Byte Swapping“ oder die Konvertierung der Daten in bestimmte Datentypen.

Wenn ein Befehl vom Server empfangen wird, extrahiert die Payload diesen aus dem Paket, berechnet seinen Hash-Wert und vergleicht diesen mit den gespeicherten Werten. Jeder Befehl wird auch direkt mit dem vordefinierten Satz gültiger Befehle zur Validierung verglichen:

getscreen, uacoff, killps, ResetHosts, weburl, Chrome, plugin, ResetScale, passload, Wallets, savePlugin, Fox, pong, DiscordTokens, setxt, WDExclusion, KillProxy, Net35, klget, Avast, Block, WebBrowserPass, gettxt, anydesk, backproxy

Sobald der entsprechende Befehl ermittelt wurde, ruft die Payload die Funktion „Plugins()“ auf, die eine bestimmte Prozedur basierend auf dem bereitgestellten Parameter auslöst.

Diese Plug-ins repräsentieren die funktionalen Komponenten der einzelnen Befehle. Standardmäßig sind nicht alle Plug-ins in der initialen Payload enthalten. Stattdessen können sie vom Server heruntergeladen werden, wenn die Befehle „plugin” oder „savePlugin” empfangen werden. Die folgende Liste enthält die im Payload enthaltenen Befehle und die entsprechenden Aktionen:

Befehl

Aktion

killps

Prozess beenden

ResetHosts

„\\hosts.backup“-Datei löschen

weburl

Bereitgestellte URL mit „Process.Start” öffnen

plugin

Payload-Plugin herunterladen und ausführen

ResetScale

SPI_SETLOGICALDPIOVERRIDE zum Ändern der Skalierung verwenden

pong

Intervall für die Client-Server-Kommunikation ändern

klget

Keylogger-Log-Datei abrufen

Block

Die Datei „\\hosts“ ändern, um eine bestimmte IP-Adresse zu blockieren

gettxt

Zwischenablage-Daten abrufen

Signiert und bereitgestellt: Es werden anfällige Treiber und DLL-Side-Loading-Techniken eingesetzt

Innerhalb des ZIP-Archivs finden wir diesmal eine Ausführungsdatei, die als Köder dient, sowie zwei DLLs, eine legitime und eine schädliche. Die Ausführungsdatei lädt die legitime Datei „CiscoSparkLauncher.dll“ und diese wiederum aktiviert die schädliche DLL, die drei Dateien entschlüsselt und im Verzeichnis „%Temp%“ bereitstellt: zwei anfällige Treiber, die zur Rechteausweitung auf Kernel-Ebene verwendet werden, sowie die endgültige RemcosRAT-Payload.

Die initiale Ausführungsdatei ruft eine Funktion aus der Datei „CiscoSparkLauncher.dll“ auf, die wiederum die Funktion „GetFileVersionInfoSizeW()“ aus der Datei „VERSION.dll“ aufruft. In diesem Fall handelt es sich bei „VERSION.dll“ um eine schädliche DLL, was auf klassisches DLL-Side-Loading hinweist. Die schädliche DLL setzt in allen Funktionen eine Kontrollflussverschleierung ein und nutzt Schleifen sowie bedingte Prüfungen, um mögliche Analysen zu verlangsamen.

Es wird ein neuer Speicherblock mit einer Größe von 5982208 Bytes zugeordnet und Daten aus dem Abschnitt „.rdata” kopiert. Tatsächlich beträgt die Größe dieses Abschnitts 5989888 Bytes und beim Kopieren werden die ersten 7680 Bytes übersprungen. Als Ergebnis werden nur verschlüsselte Daten aus diesem Abschnitt kopiert. Anschließend werden mehrere Windows-API-Adressen aus den Bibliotheken „kernel32.dll“, „ADVAPI32.dll“ und „ole32.dll“ aufgelöst.

Die Daten, die aus dem Abschnitt „.rdata” kopiert wurden, werden dann an die Dekodierungsfunktion übermittelt. Dazu wird zunächst aus zwei 16-Byte-Werten ein Schlüssel gebildet und der Abschnitt mit der „XOR”-Operation entschlüsselt.

Während der Ausführung werden zusätzliche Daten auf dieselbe Weise decodiert, jedoch mit einem anderen Schlüssel:

Die decodierten Daten enthalten einen zusätzlichen Code, der nach der Dechiffrierung ausgeführt wird. Dieser Code überprüft zunächst, ob das System als virtuelle Maschine ausgeführt wird, indem nach Indikatoren wie „vmware” oder „virtualbox” im System-Namen gesucht wird. Außerdem werden der verfügbare Arbeitsspeicher, die Anzahl der CPUs und die Bildschirmauflösung ermittelt. Wenn eine dieser Bedingungen auf eine Virtualisierungsumgebung hindeutet, wird die Ausführung der Payload beendet.

Die Payload kopiert sich selbst zusammen mit den Dateien „CiscoSparkLauncher.dll“ und „VERSION.dll“ in den Ordner „%Temp“ und führt dann den nächsten Befehl aus, um ihre Persistenz sicherzustellen:

C:\Windows\system32\cmd.exe /c schtasks /create /tn "Yt4Bvc2G" /tr "C:\Users\DEV\AppData\Roaming\DEMANDA LABORAL JUDICIAL 2313154.exe" /sc onlogon /rl highest /f

Um möglicherweise vorhandene Antimalware-Software zu umgehen, überprüft die Payload, ob bestimmte Ordnerpfade vorhanden sind, und verwendet dann die Funktionen „CreateToolHelp32Snapshoot“, „Process32First“ und „Process32Next“, um alle laufenden Prozesse aufzulisten und diejenigen zu beenden, die mit der hinterlegten Prozessnamenliste übereinstimmen:

AnhRpt, Ahnsd, v3sp, mupdate2, autop, ArtHost, ASDSvc, v3lite4, v314sp, V3Light, V3Medic, V3SVC, AhnLabPolicyAgent, eausvc, AYUpdate.aye, ALYac.aye, AYAgent.aye, AYUpdSrv.aye, AYWSSrv.aye, AYTRSrv.aye, ALMountService, eOppFrame, egui, eguiProxy, efwd, ekrn, mc-fwhost, mc-web-view, mcupdate, mfwc, updaterui, mfeann, mcuicnt, mfevtps, mfetp, mfemms, McShield, AvEmUpdate, icarus_ui, overseer, AVGUI, aswidsagent, afwServ, avgToolsSvc, aswEngSrv, AVGSvc, wsc_proxy, overseer, wa_3d_party_host_64, su_worker, wa_3d_party_host_32, AvastBrowserUpdate, AvBugReport, AvastBrowserProtect, icarus_ui, icarus, AvastUI, aswidagent, afwServ, aswToolSvc, aswEngSrv, AvastSvc, wsc_proxy, MpCmdRun, NisSrv, MsMpEng, smartscreen, MpDefenderCoreService, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon, 360UHelper, 360speedld, safesvr, SoftMgr, LiveUpdate360, inst, 360Safe, 360leakFixer, 360Tray, ZhuDongFangYu, PopTip, 360TsLiveUpd, certuril, PromoUtil, PopWndLog, QHSafeTray, QHWatchdog, QHActiveDefense, QHSafeMain, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon

Anschließend werden zusätzliche Daten aus dem Abschnitt „.rdata“ ausgelesen, entschlüsselt und drei Dateien in den Ordner „%Temp“ geschrieben:

Dateiname

Beschreibung

VFZE6ksYnpPfSnEWUNg.sys

Anfälliger WiseCleaner-Treiber

cuDX73ob9SxeAS0IdV.sys

Anfälliger Zemana-Treiber

svchost.exe

RemcosRAT

Die analysierte Payload speichert ihre Konfiguration als verschlüsselte Ressource. Das erste Byte gibt die Schlüsselgröße an, gefolgt vom RC4-Verschlüsselungsschlüssel. Die verbleibenden Daten enthalten die verschlüsselte Konfiguration.

Beide anfälligen Treiber werden als Kernel-Mode-Dienste gestartet. Das Payload-Sample verwendet dann die Funktion „DeviceIoControl()” mit dem Steuercode „0x80002010”, um den von der Malware platzierten Prozess „svchost.exe” als authentifiziert zu registrieren. Abschließend beendet sich die Payload selbst.

Die dechiffrierte Konfiguration enthüllt mehrere von der Malware verwendete operative Parameter – wie etwa die Adresse und den Port des C2-Servers (Command-and-Control), den Botnet-Namen, die maximale Größe für die Keylogger-Protokolldateien, den Binär-Namen sowie den Mutex-Namen. Außerdem wird ein Intervall (in Sekunden) festgelegt, mit dem Screenshot erfasst werden, sowie bestimmte Ordnernamen, in denen die Screenshots, Audio-Aufnahmen und eine Lizenznummer gespeichert werden. Letztere dient wahrscheinlich dazu, die Bereitstellung oder die Nutzung durch Verbündete nachzuverfolgen.

Aufrechterhaltene Verschleierung

Noch während dieser Artikel geschrieben wurde, hat die Shadow Vector-Kampagne ein neues Kapitel aufgeschlagen und ihre mittlerweile aufgedeckten SVG Smuggling-Techniken weiterentwickelt. In dieser Variante verfolgen die Angreifer einen modularen Ansatz und stellen einen Loader bereit, der in Verbindung mit der Malware „Katz Stealer“ steht. Auch hier beginnt die Infektionskette mit sorgfältig angefertigten SVG-Köder-Dateien. Neu hinzugekommen sind jedoch JavaScript- und PowerShell-Stager, eine UAC-Umgehung über „cmstp.exe“ sowie eine dynamische .NET-Loader-DLL-Datei, die mit Funktionen zur Analyseabwehr, Prozessinjektion und optionalen Persistenzmechanismen ausgestattet ist.

Der Bedrohungsakteur hinter der jüngsten Shadow Vector-Aktivität nutzt mehrere Bitbucket-Repositorys, um schädliche JavaScript- und VBS-Stager zu hosten. Ein solches Repository (nämlich notificaciones-judiciales2025-2005) verzeichnete innerhalb weniger Stunden nach dem Upload am 28. Mai 2025 über 170 Downloads seiner gestuften Payloads. Der Umfang dieser Aktivitäten lässt darauf schließen, dass in diesem Zeitraum wahrscheinlich eine koordinierte Phishing-Kampagne stattfand. Unter den beobachteten Aliasnamen für den Uploader sticht „TheMrHacker“ gegenüber der anderenfalls einheitlichen Verwendung der allgemeinen Bezeichnung „Envio“ (spanisch für „Versand“) hervor und könnte einen Hinweis auf die Identität des Betreibers liefern.

Die Infektionskette beginnt mit einer JavaScript-Datei, die sich als juristisches Dokument tarnt (hier „001-Notificacion_electronica_demanda_judicial_Departamento_Juridico.js“) und als erster Dropper fungiert. Bei der Ausführung wird für die zweite Stufe ein Skript von Paste.ee abgerufen.

Dieses verschleierte Folgeskript startet einen PowerShell-Befehl, der so konfiguriert ist, dass er im Hintergrund (-nop -w hidden) per Invoke-Expression ausgeführt wird, der dann weitere verschlüsselte Inhalte von zwei Paste.ee-Endpunkten (beide mit demselben SHA256-Hash) abrufen kann.

In der letzten Stufe lädt das Skript eine Base64-verschlüsselte DLL-Datei aus dem Internetarchiv herunter, die in der Regel als Textdatei getarnt ist, die unter „archive[.org/replace_202505/REPLACE[.]txt“ gehostet wird. In einigen Fällen wird stattdessen eine Bilddatei abgerufen, die eine eingebettete Base64-Payload enthält, die sich im Bildinhalt verbirgt. Das Skript extrahiert und entschlüsselt die Payload und lädt die DLL dann mithilfe der PowerShell-Methode „[Reflection.Assembly]::Load()“ direkt in den Arbeitsspeicher.

Die mehrstufige Infektionskette schleust eine .NET-DLL-Datei ein, die die Methode „dnlib.IO.Home.VAI()“ dynamisch lädt und ausführt. Dieses Verhalten ist bereits von Samples des Katz Loaders bekannt. Obwohl der Loader mehrere mit dem Katz Stealer verknüpfte YARA-Signaturen aufweist, wird der Stealer in diesem Fall nicht eingeschleust. Stattdessen wird die endgültige Payload zur Laufzeit abgerufen und vollständig im Arbeitsspeicher ausgeführt, sodass auf dem Laufwerk keine Artefakte zurückbleiben. Der Loader implementiert fortschrittliche Funktionen (wie Anti-Debugging und Anti-Manipulationsprüfungen), eine optionale UAC-Umgehung (mithilfe von cmstp.exe) und eine String-Dechiffrierung aus einem verschlüsselten Ressourcen-Blob. Er verwendet Process Hollowing, um Code in legitime Binärdateien einzuschleusen, und sorgt per Aufgabenplanungen und Registry-Modifikationen für seine Persistenz. Außerdem ermöglicht er eine Laufzeitkonfiguration von Anti-VM-Prüfungen.

Mehrere im Code des Loaders eingebettete Zeichenfolgen sind in portugiesischer Sprache verfasst – wie etwa Meldungen mit dem Inhalt „Baixar e executar o PuTTY a cada 1 minuto indefinidamente” („PuTTY jede Minute für unbegrenzte Zeit herunterladen und ausführen”), „Extensão não suportada” („Nicht unterstützte Erweiterung”), „Recurso 'UAC.dll' não encontrado!” („Die Ressource 'UAC.dll' wurde nicht gefunden!“) sowie „Erro ao executar a DLL em memória” („Fehler beim Ausführen der DLL im Arbeitsspeicher”). Diese Meldungen in Verbindung mit den in der VAI-Methode verwendeten Parameternamen (z. B. „caminhovbs“, „persitencia“, „extenção“, „nomedoarquivo“) deuten darauf hin, dass der Loader Designelemente oder wiederverwendeten Code mit Werkzeugen teilt, die von portugiesischsprachigen Bedrohungsakteuren entwickelt wurden, insbesondere solchen, die an gewinnorientierten Malware-Kampagnen gegen Brasilien beteiligt sind.

Zusammenfassende Ausführungen

Dieser Bedrohungsakteur hat seine bisherigen SVG Smuggling-Techniken weiterentwickelt und nun einen modularen, speicherresidenten Loader eingeführt, der Payloads dynamisch und komplett im Arbeitsspeicher ausführen kann, sodass nur minimale Spuren im betroffenen System zurückbleiben. Dieser Loader wird über eine mehrstufige Infektionskette verbreitet, wobei öffentliche Hosting-Plattformen genutzt werden. Dies ist eine Vorgehensweise, die eine Zuordnung der Malware und entsprechende Gegenmaßnahmen erschwert.

Das Vorhandensein von portugiesischen Zeichenfolgen und Methodenparametern im Loader spiegelt TTPs (Tactics, Techniques & Procedures) wider, die häufig bei Angriffen mit brasilianischer Banking-Malware zu beobachten sind. Daraus lässt sich auf eine mögliche Code-Wiederverwendung, gemeinsam genutzte Entwicklungsressourcen oder sogar eine überregionale Zusammenarbeit der Akteure schließen.

Der anhaltende Ausrichtung der Kampagne auf lateinamerikanische Ziele, der vorgetäuschte Bezug auf staatliche Institutionen und die schnelle, skalierbare Malware-Einschleusung verdeutlichen, dass es sich hierbei um eine andauernde und sich stetig weiterentwickelnde Bedrohung handelt.

Von Acronis erkannt

RemcosRAT

Kompromittierungsindikatoren

YARA

rule crimeware_shadow_vector_svg

{

meta:

description = "Detects malicious SVG files associated with Shadow

Vector's Colombian campaign"

author = "Acronis TRU"

date = "2025-06-06"

file_type = "SVG"

malware_family = "Shadow Vector"

threat_category = "Crimeware / Malicious Image / Embedded Payload"

tlp = "TLP:CLEAR"

strings:

$svg_tag1 = "<?xml" ascii

$svg_tag2 = "<svg" ascii

$svg_tag3 = "<!DOCTYPE svg" ascii

$svg_tag4 = "http://www.w3.org/2000/svg" ascii

//used by Shadow Vector (possibly generated in batch)

$judicial = "juzgado" ascii nocase

$judicial_1 = "citacion" ascii nocase

$judicial_2 = "judicial" ascii nocase

$judicial_3 = "despacho" ascii nocase

$generado = "Generado" ascii nocase

condition:

filesize < 3MB and

3 of ($svg_tag*) and

(1 of ($judicial*) and $generado)

}

Literatur

MuchoHacker. “Correos de hospital y Rama Judicial en Colombia son usados para enviar correos falsos con archivos SVG que podrían contener malware”. 31. Oktober 2024.

https://muchohacker.lol/2024/10/correos-de-hospital-y-rama-judicial-en-colombia-son-usados-para-enviar-correos-falsos-con-archivos-svg-que-podrian-contener-malware

SciLabs. „Red Akodon: A new threat actor distributing RAT to Colombia.“ 27. Mai 2024.

https://blog.scilabs.mx/en/2024/05/27/red-akodon-a-new-threat-actor-distributing-rat-to-colombia

Umgebungen

Physisch

Endpunkte

Cloud

Virtuell

Applikationen

Mobilgerät

Vergleichen Sie Acronis

Shadow Vector: Malware greift kolumbische Firmen mit gerichtsbezogenen SVG-Ködern an

Zusammenfassung

Einleitung

Malware-orientierte Bereitstellung

Fallakte: AsyncRAT via DLL-Side-Loading

Per Side-Loading ausgelöste Ausführungskette

Konfiguration

Installation und Persistenz

Egal, welche Tastatureingabe Sie machen, egal, welche Aktion Sie ausführen – Sie werden beobachtet.

Signiert und bereitgestellt: Es werden anfällige Treiber und DLL-Side-Loading-Techniken eingesetzt

Aufrechterhaltene Verschleierung

Zusammenfassende Ausführungen

Von Acronis erkannt

RemcosRAT

Kompromittierungsindikatoren

SVG

Pakete

Payloads

YARA

Literatur