PhishingHackerangriffeSchwachstellen

VENOMOUS#HELPER: Phishing-Kampagne nutzt legitime Remote-Access-Tools als Trojanisches Pferd

Von CyberDeutsch Redaktion
VENOMOUS#HELPER: Phishing-Kampagne nutzt legitime Remote-Access-Tools als Trojanisches Pferd
Zusammenfassung

Eine aktuelle Phishing-Kampagne unter dem Namen VENOMOUS#HELPER bedroht seit mindestens April 2025 Unternehmen weltweit und hat bereits über 80 Organisationen ins Visier genommen – überwiegend in den USA. Die Angreifer nutzen eine raffinierte Taktik: Sie versenden täuschend echte E-Mails, die sich als Mitteilungen der U.S. Social Security Administration ausgeben, und verleiten Empfänger dazu, vermeintliche Kontoauszüge herunterzuladen. Diese Dateien enthalten jedoch Malware, die legitime Remote-Monitoring-and-Management-Tools wie SimpleHelp und ScreenConnect installiert. Dies ist besonders tückisch, weil diese Programme normalerweise vertrauenswürdig sind und von Antivirus-Systemen nicht als Bedrohung erkannt werden. Die Angreifer bauen eine doppelte Zugangsarchitektur auf – falls ein Tool blockiert wird, können sie auf das andere ausweichen. Damit hätten sie persistenten, unkontrollierten Zugriff auf befallene Systeme. Für deutsche Nutzer und Unternehmen ist dies eine erhebliche Warnung: Ähnliche Kampagnen könnten leicht auf den deutschsprachigen Raum ausgeweitet werden. Besonders kritisch ist dies für Organisationen, die solche RMM-Tools einsetzen, sowie für alle, die verdächtige E-Mails erhalten, die zum Herunterladen von Dateien auffordern.

Die Sicherheitsforscher von Securonix haben die Kampagne VENOMOUS#HELPER detailliert analysiert. Sie zeigt, wie Cyberkriminelle gezielt Vertrauen ausnutzen. Alles beginnt mit einer Phishing-E-Mail, die sich als Mitteilung der U.S. Social Security Administration ausgibt. Das Opfer wird aufgefordert, eine vermeintliche SSA-Erklärung herunterzuladen. Der Link in der E-Mail führt auf eine legitime, aber kompromittierte mexikanische Website (gruta.com[.]mx) – ein bewährter Trick, um die Spam-Filter zu täuschen.

Der tatsächliche Malware-Download erfolgt dann von einer weiteren, von den Angreifern kontrollierten Domain (server.cubatiendaalimentos.com[.]mx). Was die Nutzer herunterladen, ist eine ausführbare Datei mit dem SimpleHelp-RMM-Tool in der Version 5.0.1. Die Datei ist als JWrapper-Paket verkleidet – wirkt also wie ein normales Dokument.

Sobald das Opfer die Datei öffnet, installiert sich die Malware als Windows-Service mit Persistenzmechanismen im abgesicherten Modus. Ein sogenannter “Self-Healing Watchdog” sorgt dafür, dass der Prozess automatisch neu gestartet wird, falls er beendet wird. Alle 67 Sekunden scannt die Software nach installierten Sicherheitsprodukten mittels WMI-Abfragen (root\SecurityCenter2-Namespace), alle 23 Sekunden wird die Benutzeraktivität überwacht.

Das eigentliche Ziel ist die Erlangung von SYSTEM-Rechten. Dazu nutzen die Angreifer das Legitimate-Tools-Konzept: Sie missbrauchen “elev_win.exe”, eine echte ausführbare Datei des SimpleHelp-Softwarepakets, um Administratorrechte zu erlangen. Mit diesen Berechtigungen kann der Angreifer den Bildschirm lesen, Tastenanschläge injizieren und auf alle Systemressourcen zugreifen.

Die Redundanz ist entscheidend: Falls SimpleHelp erkannt und blockiert wird, installiert der Angreifer zusätzlich ConnectWise ScreenConnect – ein zweites RMM-Tool als Fallback-Kanal. So wird ein “redundantes Dual-Channel-Zugriffssystem” geschaffen, das weiterhin Befehlsexekution, Dateiübertragung und seitliche Bewegung im Netzwerk ermöglicht – alles unter dem Deckmantel legitimer, kryptographisch signierter Software eines renommierten britischen Herstellers.

Für deutsche Unternehmen ist dies ein Weckruf: Phishing-E-Mails, die sich als Behörden oder bekannte Institutionen ausgeben, erfordern strikte Authentifizierungsprozesse. Auch sollten RMM-Tools strikter überwacht und regelmäßig auf verdächtige Aktivitäten geprüft werden.

Ähnliche Artikel