Google Chrome Nutzer im Visier
„HoeflerText“-Popups verbreiten jetzt RAT-Malware
RAT-Malware statt Ransomware
Unit 42 , das Bedrohungsforschungsteam von Palo Alto Networks, warnt davor, dass gefälschte PopUps mit der Schriftart Hoefler Text, die zum Download angeboten wird, weiterhin auf Nutzer von Google Chrome zielen und nun eine neue Malware, ein RAT (Remote Access Tool), verbreiten. Die Angreifer, die hinter der EITest-Kampagne stecken, setzen ein Social-Engineering-System ein, mit dem sie in den letzten Monaten Ransomware wie Spora und Mole an Opfer verteilten. Unit 42 hat nun herausgefunden, dass diese Kampagne seit Ende August nun eine andere Art von Malware verbreitet. Aktuelle Samples infizieren Windows-Hosts mit dem NetSupport Manager RAT. Dies ist bedeutsam, weil es auf eine potenzielle Verschiebung der Motive der Angreifer hindeutet.
Historie
Bereits im Dezember 2016 begann die EITest-Kampagne, mittels HoeflerText-Popups Malware zu verbreiten. Seit Ende Januar 2017 war nur Ransomware, die aus diesen Popups stammte, zu beobachten. Diese Aktivität setzte gelegentlich für einige Wochen aus. Im Juli 2017 lieferten die HoeflerText-Popups bis Monatsende zuletzt Mole-Ransomware unter dem Deckmantel des Dateinamens Font_Chrome.exe aus. Ende August sind diese Popups erneut in Erscheinung getreten, aber mit einer anderen Art von Malware, die sich hinter Font_Chrome.exe verbarg. So enthielten die aktuellen Samples nicht mehr Ransomware, sondern File Downloader.
Jüngste Aktivitäten
Der Netzwerkverkehr folgt zwei verschiedenen Pfaden: Opfer, die Microsoft Internet Explorer als Web-Browser verwenden, erhalten eine falsche Anti-Virus-Warnung mit einer Telefonnummer für einen Tech-Support-Betrug. Opfer mit Google Chrome als Browser erhalten ein gefälschtes HoeflerText-Popup, in dem die Malware als Font_Chrome.exe verkleidet ist.
Aktuelle Samples von Font_Chrome.exe sind File Downloader. Sie rufen eine Follow-up-Malware ab, die daraufhin ein NetSupport Manager RAT (Remote Access Tool) installiert. NetSupport Manager ist ein kommerziell verfügbares RAT, das zuvor mit einer Malware-Kampagne von gehackten Steam-Konten im vergangenen Jahr in Zusammenhang stand. Von den HoeflerText Popups vom August dieses Jahres haben die Forscher von Unit 42 zwei File Downloader- und zwei entsprechende Follow-up-Malware-Samples gefunden.
Schlussfolgerung
Benutzer sollten sich dieser Bedrohung bewusst sein und auf verdächtige Popup-Nachrichten („The "HoeflerText" font wasn’t found“) in Google Chrome achten. Da dies ein RAT ist, werden infizierte Benutzer wahrscheinlich keine Veränderung an ihrem Computer wahrnehmen. Wenn das NetSupport Manager RAT auf ihrem Windows-Host gefunden wird, handelt es sich wahrscheinlich um eine Malware-Infektion.
Derzeit ist nicht bekannt, warum die Akteure hinter den EITest-HoeflerText-Popups von Ransomware zu einem RAT übergegangen sind. Ransomware ist immer noch eine ernsthafte Bedrohung und nach wie vor die größte Kategorie von Malware, die Unit 42 bei Massenverteilungskampagnen täglich beobachtet. Allerdings haben die Forscher in den letzten Kampagnen auch eine zunehmende Anzahl anderer Malware bemerkt, vor allem im Vergleich zum Vorjahr. RATs geben Angreifern mehr Fähigkeiten auf einem Host und sind in der Regel viel flexibler als Malware, die für einen einzigen Zweck konzipiert wurde. Der Wechsel bei den EITest-HoeflerText-Popups stellt eine leichte Verschiebung dar, die andeutet, dass Ransomware nun etwas weniger prominent ist, als sie es einmal war.
