Die von Microsoft beschriebene Angriffskette beginnt mit trojanisierten Gaming-Werkzeugen, die über Browser und Chat-Plattformen verbreitet werden. Ein bösartiger Downloader installiert eine portable Java-Laufzeitumgebung und startet das Java-Archiv jd-gui.jar. Für die unauffällige Ausführung kommen PowerShell und legitime Systembinärdateien wie cmstp.exe zum Einsatz.
Um der Erkennung zu entgehen, entfernt die Schadsoftware den ursprünglichen Downloader und legt in Microsoft Defender Ausnahmen für ihre RAT-Komponenten an. Die Persistenz wird über eine geplante Aufgabe sowie das Windows-Startskript “world.vbs” sichergestellt, bevor die eigentliche Schadlast ausgeliefert wird. Laut Microsoft handelt es sich um eine Mehrzweck-Malware, die als Loader, Runner, Downloader und RAT zugleich arbeitet. Sie kontaktiert den Server 79.110.49[.]15 zur Steuerung, um Daten zu exfiltrieren und weitere Schadprogramme nachzuladen.
Microsoft rät, die Defender-Ausnahmen und geplanten Aufgaben zu überprüfen, schädliche Aufgaben und Startskripte zu entfernen, betroffene Endpunkte zu isolieren und die Zugangsdaten der auf kompromittierten Systemen aktiven Nutzer zurückzusetzen.
Parallel hat BlackFog Details zu einer neuen Windows-RAT-Familie namens Steaelite veröffentlicht, die in kriminellen Foren zunächst in diesem Monat als “bester Windows-RAT” mit “vollständig nicht erkennbaren” (FUD) Fähigkeiten beworben wurde. Sie ist mit Windows 10 und 11 kompatibel. Anders als andere fertig verkaufte RATs bündelt Steaelite Datendiebstahl und Ransomware in einem einzigen Web-Panel; ein Android-Ransomware-Modul ist angekündigt. Das Panel enthält Werkzeuge für Keylogging, Chat zwischen Betreiber und Opfer, Dateisuche, Verbreitung über USB, das Ändern des Desktop-Hintergrunds, das Umgehen der Benutzerkontensteuerung (UAC) sowie eine Clipper-Funktion.
Zu den Kernfähigkeiten von Steaelite zählen laut BlackFog die Ausführung von Code aus der Ferne, Dateiverwaltung, Live-Streaming, Zugriff auf Webcam und Mikrofon, Prozessverwaltung, Überwachung der Zwischenablage, Passwortdiebstahl, das Auflisten installierter Programme, Standortverfolgung, das Ausführen beliebiger Dateien, das Öffnen von URLs, DDoS-Angriffe sowie das Kompilieren von VB.NET-Schadlasten. Außerdem kann die Software konkurrierende Malware entfernen und Microsoft Defender deaktivieren.
Die Sicherheitsforscherin Wendy McCague erläutert, das Werkzeug gebe Angreifern über ein einziges Dashboard browserbasierte Kontrolle über infizierte Windows-Rechner – von Codeausführung über Diebstahl von Zugangsdaten und Live-Überwachung bis hin zu Datenabfluss und Ransomware-Einsatz. Ein einzelner Akteur könne so Dateien durchsuchen, Dokumente abziehen, Zugangsdaten sammeln und Ransomware ausrollen, was eine vollständige doppelte Erpressung aus einem Tool ermögliche.
In den vergangenen Wochen entdeckten Bedrohungsanalysten zudem zwei weitere RAT-Familien, die als DesckVB RAT und KazakRAT geführt werden und umfassende Fernsteuerung infizierter Systeme erlauben. Nach Einschätzung von Ctrl Alt Intel wird KazakRAT einem mutmaßlich staatlich verbundenen Cluster zugeschrieben, das kasachische und afghanische Ziele im Rahmen einer seit mindestens August 2022 laufenden Kampagne angreift.
