Abonnieren Sie unseren NEWSLETTER

Check Point Research (CPR), die Forschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), entlarvt den Hacker „EMINэM“, der sich für eine Malware verantwortlich zeichnet, die Ziele in der EMEA- und APAC-Region trifft. Der Hacker verbreitet die Malware über scheinbar legitime Software: Remcos Remote Access Trojan (RAT) und GuLoader (auch bekannt als CloudEyE und TheProtect) werden zwar vordergründig als legitime Tools beworben. Sie werden jedoch in großem Umfang für Cyberangriffe genutzt und zählen durchweg zu den am weitesten verbreiteten Schadprogrammen.

Die Verkäufer werden zu Komplizen, da sie sehr wohl wissen, dass ihre Software von Cyberkriminellen genutzt wird, um ihre illegalen Aktivitäten zu verbergen. Laut der ThreatCloud AI von Check Point ist jeden Monat eines von 41 Finanzunternehmen von GuLoader betroffen, außerdem eine von 35 Bildungseinrichtungen von Remcos.

Die Ermittlungen von CPR haben eine eindeutige Verbindung zwischen einer als „EMINэM“ bekannten Person und zwei Websites, BreakingSecurity und VgoStore, ergeben. Diese Websites verkaufen offen Remcos und GuLoader, die unter dem Namen TheProtect vertrieben werden. Außerdem liegen CPR Beweise für die Beteiligung von „EMINэM“ an der Verbreitung schädlicher Malware vor, darunter FormBook und Amadey Loader. Darüber hinaus nutzt „EMINэM“ TheProtect aus, um die Erkennung durch Antivirenprogramme für seine eigenen bösartigen Aktivitäten zu umgehen.

Scheinbar legitime Software ist die bevorzugte Wahl der Cyberkriminellen

Ein alarmierender Trend, der sich im Check Point Mid-Year Security Report 2023 zeigt, ist, dass scheinbar legitime Software zur bevorzugten Wahl von Cyberkriminellen geworden ist. Bemerkenswerte Beispiele sind Remcos RAT und GuLoader, die beide als legitime Tools vertrieben werden, jedoch in großem Umfang für Cyberangriffe genutzt werden und durchweg zu den am weitesten verbreiteten Schadprogrammen zählen.

Obwohl ihre Verkäufer behaupten, sie würden legal eingesetzt, hat CPR eine enge Verbindung zwischen diesen Tools und der Cyberkriminalität festgestellt. Während Remcos versucht, sich der Erkennung durch Antivirenprogramme zu entziehen, fungiert GuLoader als Verbündeter und hilft dabei, die Schutzmaßnahmen zu umgehen. CPR hat herausgefunden, dass GuLoader umbenannt und als ein Crypter verkauft wird, um sicherzustellen, dass die Nutzlast von Remcos für Antivirenprogramme völlig unentdeckbar bleibt. Auffallend ist, dass ein und derselbe Administrator die Plattform verwaltet und beide Tools verkauft, während er gleichzeitig die offizielle Website und die Telegram-Kanäle für Remcos betreibt. CPR hat überzeugende Beweise dafür entdeckt, dass diese Person nicht nur Malware wie Amadey und Formbook einsetzt, sondern auch GuLoader verwendet, um sich vor der Erkennung durch Antivirenprogramme zu schützen. Domainnamen und IP-Adressen, die mit dem Verkäufer von Remcos und GuLoader in Verbindung stehen, tauchen in Berichten von Malware-Analysten auf.

Guloader und Remcos gehören zu den Spitzenreitern

Im Most-Wanted-Malware-Bericht vom Juli berichtete CPR, dass das RAT Remcos aufgrund von trojanisierten Installationsprogrammen um vier Plätze aufgestiegen ist. Remcos befindet sich jetzt auf dem dritten Platz, nachdem Bedrohungsakteure im letzten Monat gefälschte Websites erstellt haben, um bösartige Downloader mit dem RAT zu verbreiten.

Remcos wurde erstmals 2016 entdeckt und ist ein RAT, der regelmäßig über scheinbar authentische Microsoft-Dokumente oder Downloader, die in Wirklichkeit bösartig sind, verbreitet wird. Zuletzt wurde es bei einer Kampagne mit dem Fruity-Malware-Downloader beobachtet. Ziel war es, die Opfer zum Herunterladen des Fruity-Downloaders zu verleiten, der verschiedene RATs wie Remcos installierte, um sensible Informationen und Anmeldedaten zu stehlen und bösartige Aktivitäten auf dem Computer des Benutzers durchzuführen.

GuLoader und Remcos im Jahr 2023 - Finanz- und Bildungssektor als Hauptziele

Jüngste Aktivität von GuLoader und Remcos laut der Erkenntnisse von Echtzeit-Bedrohungsdaten der Check Point ThreatCloud AI:

•GuLoader: Im Finanz- und Bankensektor waren monatlich durchschnittlich 2,4 Prozent der Unternehmen weltweit betroffen (1 von 41 Organisationen).

•GuLoader: Größte Auswirkung in der EMEA-Region mit einem durchschnittlichen monatlichen Anteil an betroffenen Organisationen von 4,7 Prozent (1 von 21 Organisationen).

•Remcos: Im Sektor Bildung und Forschung waren weltweit durchschnittlich 2,8 Prozent der Organisationen monatlich betroffen (1 von 35 Organisationen).

•Remcos: Größte Auswirkung in der APAC-Region, mit einem monatlichen Durchschnitt von zwei Prozent (1 von 50 Organisationen).

Alexander Chailytko, Cyber Security, Research & Innovation Manager bei Check Point Research, über die Entwicklung: „Es gibt einen alarmierenden Trend, dass Cyberkriminelle Malware in scheinbar legitimer Software verstecken, um die Strafverfolgung zu umgehen. Um diese aufkommenden Bedrohungen zu bekämpfen, müssen Strafverfolgungsbehörden, Cybersicherheitsexperten und die breitere Community ihre Kräfte bündeln, um diese Bedrohungen aufzudecken und zu neutralisieren.“