Sicherheitsforscher haben eine ausgefeilte Malware-Kampagne namens VOID#GEIST aufgedeckt, die über Batch-Skripte verschiedene verschlüsselte Remote-Access-Trojaner (RATs) wie XWorm, AsyncRAT und Xeno RAT verbreitet.
Cybersicherheitsexperten von Securonix Threat Research haben Details einer mehrstufigen Malware-Kampagne enthüllt, die über verschleierte Batch-Skripte als Einfallstor für verschiedene verschlüsselte Remote-Access-Trojaner fungiert. Die getarnte Angriffskette wurde von den Forschern VOID#GEIST benannt.
Die Attacke folgt einem raffinierten Aufbau: Ein obfuskiertes Batch-Skript startet ein zweites Skript, integriert eine legitime Python-Runtime und entschlüsselt Shellcode-Blöcke, die direkt im Arbeitsspeicher ausgeführt werden. Hierfür nutzen die Angreifer die sogenannte Early Bird Asynchronous Procedure Call (APC)-Injection in separaten Instanzen von “explorer.exe”.
Wie die Forscher Akshay Gaikwad, Shikha Sangwan und Aaron Beardslee in ihrem technischen Bericht erklären, setzen moderne Malware-Kampagnen zunehmend auf komplexe, skriptbasierte Verteilungsframeworks statt auf eigenständige Executables. Die Angreifer kombinieren Batch-Skripte für die Orchestrierung, PowerShell für versteckte Staging-Prozesse, legitime eingebettete Runtimes für Portabilität und rohen Shellcode für Persistenz.
Dieser dateilose Ausführungsmechanismus minimiert die Erkennungsmöglichkeiten auf der Festplatte erheblich. Zusätzlich wirken die einzelnen Stufen isoliert betrachtet harmlos und ähneln normalen Administratoraktivitäten.
Der Angriff beginnt mit einem Batch-Skript, das von einer TryCloudflare-Domain abgerufen und per Phishing-E-Mail verbreitet wird. Nach dem Start verzichtet es bewusst auf Privilege-Escalation und nutzt die Rechte des aktuell angemeldeten Benutzers. In der ersten Phase wird ein Köder-PDF angezeigt, indem Google Chrome im Vollbildmodus gestartet wird – typischerweise ein Finanzdokument oder eine Rechnung. Dies lenkt ab, während im Hintergrund ein verstecktes PowerShell-Kommando das ursprüngliche Batch-Skript erneut ausführt.
Für die Persistenz nach Systemneustarts wird ein zusätzliches Batch-Skript in den Windows-Startordner des Benutzers platziert. Diese Methode erfordert keine Rechteerweiterung und hinterlässt minimal forensische Spuren, da sie keine systemweiten Registry-Änderungen, geplanten Tasks oder Services nutzt.
In der nächsten Phase kontaktiert die Malware eine TryCloudflare-Domain, um zusätzliche Payloads in Form von ZIP-Archiven zu laden. Nach dem Entpacken werden eine legitime Python-Runtime von python[.]org sowie weitere Dateien bereitgestellt. Dieser Ansatz bietet Portabilität und Zuverlässigkeit – die Malware funktioniert auch ohne systemweit installiertes Python.
Das Hauptziel ist es, die Python-Runtime zu nutzen, um “runn.py” zu starten, das wiederum den XWorm-Payload mittels Early Bird APC-Injection entschlüsselt und ausführt. Zusätzlich wird die legitime Microsoft-Binärdatei “AppInstallerPythonRedirector.exe” missbraucht, um Python zu aufzurufen und Xeno RAT zu laden. In der letzten Stufe verwendet der Python-Loader wieder denselben Injektionsmechanismus für AsyncRAT.
Die Infektionskette endet damit, dass die Malware einen minimalen HTTP-Beacon an die von den Angreifern kontrollierte Command-and-Control-Infrastruktur auf TryCloudflare sendet, um die erfolgreiche Kompromittierung zu bestätigen. Bislang ist nicht bekannt, wer die Ziele dieser Kampagne waren oder ob bereits erfolgreiche Kompromittierungen stattgefunden haben.
Securonix betont, dass dieses wiederholte Injektionsmuster die modulare Architektur des Frameworks unterstreicht. Statt eines einzelnen monolithischen Payloads werden Komponenten schrittweise bereitgestellt, was Flexibilität und Widerstandsfähigkeit verbessert. Aus Erkennungsperspektive ist wiederholte Process-Injection in explorer.exe in kurzen Zeitfenstern ein starker Verhaltensindikator für diese mehrstufige Attacke.
Quelle: The Hacker News