Cyberkriminelle führen derzeit eine gezielte Phishing-Kampagne gegen Unternehmen im Finanz- und Gesundheitssektor durch. Das Angriffsschema ist dabei bemerkenswert raffiniert: Die Angreifer fluten zunächst die E-Mail-Postfächer ihrer Ziele mit Spam, um dann über Microsoft Teams Kontakt aufzunehmen – authentisch verkleidet als IT-Support-Personal. Sie bieten ihre “Hilfe” bei der Beseitigung der unerwünschten Nachrichten an.
Das Ziel ist simpel, aber effektiv: Die Opfer sollen eine Quick-Assist-Sitzung starten, um dem angeblichen Support Fernzugriff zu gewähren. Über diese Hintertür installieren die Kriminellen dann ein Malware-Paket, das digital signierte MSI-Installer enthält – gehostet in einem persönlichen Microsoft Cloud-Speicherkonto.
Forschern des Cybersicherheitsunternehmens BlueVoyant zufolge tarnen sich die bösartigen MSI-Dateien als legitime Microsoft-Teams-Komponenten und als CrossDeviceService, ein echtes Windows-Tool des Phone-Link-Features. Dadurch umgehen sie erste Sicherheitsprüfungen.
Die technische Implementierung zeigt große Raffinesse: Die Angreifer nutzen DLL-Sideloading mit echten Microsoft-Binaries, um eine manipulierte Library (hostfxr.dll) einzuschleusen. Diese Datei enthält komprimierte oder verschlüsselte Daten, die nach dem Laden in den Arbeitsspeicher in Shellcode umgewandelt werden. Eine Schutzmaßnahme ist die übermäßige Thread-Erstellung, die Debugger zum Absturz bringen kann – eine intelligente Strategie gegen Analyse.
Die Shellcode führt zunächst eine Sandbox-Erkennung durch und generiert dann einen SHA-256-basierten Schlüssel. Mit diesem entschlüsselt sie das Kernstück, die A0Backdoor-Malware, die mittels AES-Algorithmus verschlüsselt ist. Nach erfolgreicher Dekryptierung sammelt die Malware Systeminformationen über Windows-API-Aufrufe wie DeviceIoControl und GetComputerNameW.
Besonders bemerkenswert ist die Kommunikationsmethode: Die Backdoor versteckt ihre Befehle geschickt im DNS-Verkehr. Sie sendet DNS-MX-Anfragen mit kodierten Metadaten in hochentropischen Subdomains an öffentliche Resolver. Die Antworten enthalten in den MX-Records die verschlüsselten Befehlsdaten. “Das hilft dem Datenverkehr, unauffällig zu bleiben und umgeht Sicherheitsmaßnahmen, die auf TXT-basiertes DNS-Tunneling prüfen”, erklärt BlueVoyant. Diese Methode ist cleverer als etablierte Erkennungsmechanismen.
Bestätigt wurden zwei Angriffsziele: eine kanadische Finanzinstitution und eine globale Gesundheitsorganisation. BlueVoyant bewertet mit mäßig bis hoher Konfidenz, dass diese Kampagne eine Weiterentwicklung von Taktiken der BlackBasta-Ransomware-Gang darstellt – jene Gruppe, die sich nach dem Leak ihrer internen Chatprotokolle aufgelöst hat.
Obwohl viele Überschneidungen existieren, sind die Verwendung von signierten MSIs, bösartigen DLLs, die A0Backdoor-Payload und das DNS-MX-basierte Command-and-Control-System neue Elemente. Diese Kampagne unterstreicht, wie raffiniert moderne Malware geworden ist – sie nutzt mehrschichtige Verschleierung, legitime Tools als Tarnung und clevere Netzwerk-Evasion, um unter dem Radar traditioneller Sicherheitssysteme zu operieren.