MalwarePhishingHackerangriffe

FAUX#ELEVATE: Cyberkriminelle nutzen gefälschte Bewerbungen zur Unternehmens-Infiltration

FAUX#ELEVATE: Cyberkriminelle nutzen gefälschte Bewerbungen zur Unternehmens-Infiltration
Zusammenfassung

Eine neue Phishing-Kampagne mit dem Namen FAUX#ELEVATE zielt gezielt auf französischsprachige Unternehmensumgebungen ab und nutzt dabei täuschend echt wirkende gefälschte Lebensläufe als Transportmittel für Malware. Die Angreifer versenden E-Mails mit obfuskierten VBScript-Dateien, die sich als CV-Dokumente tarnen und bei Ausführung ein mehrstufiges Angriffspaket installieren. Dieses kombiniert Credential-Stealing, Datenexfiltration und das verdeckte Schürfen von Kryptowährungen. Besonders bemerkenswert ist die Raffinesse der Kampagne: Der Angriff lädt legitime Infrastrukturen wie Dropbox, Moroccan WordPress-Seiten und mail.ru-Server für Command-and-Control-Kommunikation sowie Datenweitergabe. Die eigentliche Schadcode-Payload ist in einer 9,7 Megabyte großen Datei versteckt, die zu 99 Prozent aus zufälligen Kommentaren besteht, um Sicherheitsmechanismen zu umgehen. Das Angriffsszenario betrifft primär Unternehmensumgebungen, da die Malware gezielt nach Domain-angebundenen Systemen sucht. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, insbesondere wenn französischsprachige oder international tätige Mitarbeiter mit ähnlich gestalteten Phishing-E-Mails konfrontiert werden. Die Schnelligkeit der Infektion – vollständig in etwa 25 Sekunden – erschwert die Detektion erheblich und ermöglicht Angreifern, Unternehmensanmeldedaten zu stehlen und Systeme langfristig für Cryptomining zu kompromittieren.

Die Phishing-Kampagne FAUX#ELEVATE nutzt hochgradig verschleierte Visual-Basic-Skripte (VBScript), die als vermeintliche CV-Dokumente getarnt sind. Wenn Nutzer diese Dateien öffnen, sehen sie eine gefälschte Fehlermeldung in französischer Sprache — vermeintlich ein korruptes Dokument. Im Hintergrund jedoch lädt das Skript ein komplexes Schadstoff-Toolkit herunter, das Zugangsdaten stiehlt, Daten exfiltriert und Cryptocurrency-Mining betreibt.

Besonders bemerkenswert ist die technische Raffinesse: Das VBScript umfasst 224.471 Zeilen Code, von denen nur 266 tatsächliche Befehle enthalten. Der Rest besteht aus zufälligen englischen Kommentaren — eine Taktik, um die Dateigröße auf 9,7 Megabyte aufzublähen und Sicherheitsmechanismen zu verwirren.

Die Schadsoftware führt mehrere Evasions-Techniken durch: Sie prüft, ob das System in einer Sandbox läuft, triggert dann eine Endlosschleife der Benutzerkontensteuerung (UAC), um Admin-Rechte zu erlangen, und deaktiviert anschließend Microsoft Defender komplett. Besonders clever: Ein Domain-Join-Gate mittels WMI (Windows Management Instrumentation) sorgt dafür, dass nur Unternehmensrechner infiziert werden — Privatnutzer werden ignoriert.

Sobald Admin-Rechte gesichert sind, wird aggressiv aufgeräumt: Sicherheitsschutzfunktionen werden deaktiviert, der Windows-Registry wird manipuliert. Die Malware downloaded zwei passwortgeschützte 7-Zip-Archive von Dropbox, die verschiedene Stehl-Tools enthalten.

Zum Diebstahl von Browser-Daten nutzen die Kriminellen das ChromElevator-Projekt, um Chromium-basierte Browser wie Chrome und Edge zu kompromittieren — selbst mit modernem App-Bound-Encryption-Schutz. Gestohlene Passwörter und Desktop-Dateien werden via zwei mail.ru-Konten zu einer Duck.com-E-Mail-Adresse weitergeleitet.

Das Bemerkenswerteste bleibt die Geschwindigkeit: Die komplette Infektionskette — von der VBS-Ausführung bis zur Exfiltration — dauert nur etwa 25 Sekunden. Nach erfolgreichem Datenraub werden alle Tools gelöscht, nur der Monero-Miner und der Trojan verbleiben auf dem System für permanente Ressourcen-Ausnutzung.

Securonix warnt speziell Unternehmens-Sicherheitsteams: Die Kombination aus Geschwindigkeit, technischer Raffinesse und gezieltem Targeting von Domain-Join-Systemen macht FAUX#ELEVATE zu einer Premium-Gefahr für Corporate-Umgebungen.

Ähnliche Artikel