Sicherheitsforscher von Trend Micro haben eine gezielte Phishing-Kampagne aufgedeckt, die es auf Organisationen in kritischen Sektoren abgesehen hat. Die Angreifer versenden E-Mails mit vermeintlichen Verwarnungen zu Urheberrechtsverletzungen, die tatsächlich zum Download von PureLog Stealer führen — einem kostengünstigen Infostealer, der es Kriminellen leicht macht, Daten zu stehlen.
Zielgerichtete Ansprache statt Massenversand
Besonders bemerkenswert ist die Selektivität der Kampagne. Die Angreifer konzentrieren sich primär auf Gesundheitswesen und Behörden in Deutschland und Kanada, haben aber auch Ziele in den USA und Australien im Visier. Die E-Mails sind sprachgerecht lokalisiert und vermitteln einen starken Eindruck von Authentizität — ein bewusster Schachzug der Angreifer, der die Erfolgsquote erheblich erhöht.
Wer auf den Link klickt oder die Anlage öffnet, lädt scheinbar ein harmloses PDF-Dokument herunter — tatsächlich öffnet sich ein komprimiertes Archiv mit unterstützenden Dateien und legitimen Tools wie WinRAR, die zur Ausführung des Schadcodes missbraucht werden.
Mehrstufiger Ladevorgang mit hohen Evaders-Techniken
Die Infektion erfolgt durch einen mehrstufigen In-Memory-Prozess, der mehrere Loader nutzt. Ein Python-basierter Loader startet die Infektionskette mit Umgebungsprüfungen auf Sandbox- oder Virtual-Machine-Erkennung. Darauf folgen zwei aufeinanderfolgende .NET-Loader, die weitere Dekodierungen vornehmen und die Ausführung verschleiern.
Das Besondere: Der Malware-Code wird erst zur Laufzeit entschlüsselt, indem Schlüssel von einem Remote-Server abgerufen werden. Dies verhindert, dass Sicherheitsanalysten die finale Payload extrahieren können, ohne den Code aktiv auszuführen.
PureLog als persistent agierender Datendieb
Sobald PureLog aktiviert wird, hinterlässt es kaum digitale Spuren. Das Malware-Stück führt mehrere kritische Operationen durch: Es etabliert Persistenz durch Registry-Modifikationen, erstellt Screenshots, profilt das System und klaut sensible Daten wie Chrome-Anmeldedaten, Browser-Erweiterungen, Kryptowährungs-Wallet-Informationen und Systeminformationen.
Die Angreifer nutzen durchgehend AMSI-Bypass-Techniken (Antimalware Scan Interface), schwere Code-Obfuskation und Anti-Analyse-Überprüfungen. Dies führt zu einer erfolgreichen Kompromittierung mit Konsequenzen wie Credential-Diebstahl, Account-Übernahmen und nachgelagerten Intrusionen.
Schutzmaßnahmen für deutsche Organisationen
Trend Micro empfiehlt mehrschichtige Verteidigungsmaßnahmen: Filtern verdächtiger E-Mails mit Rechtsbezügen und Anlagen, Schulung der Benutzer, Beschränkung unauthorisierter Python-Ausführung durch Application Allowlisting, Überwachung verdächtiger Nutzung legitimer Tools sowie EDR/XDR-Lösungen mit Memory-Scanning und verhaltensbasierter Detektion.
Die Kampagne symbolisiert einen bemerkenswerten Trend: Weg von breitflächiger Malware-Verteilung, hin zu zielgerichteten Angriffen auf kritische Infrastrukturen.