MalwareSchwachstellenCyberkriminalität

REF1695: Raffinierte Mining-Operation nutzt gefälschte ISO-Installer für Trojaner und Kryptominer

REF1695: Raffinierte Mining-Operation nutzt gefälschte ISO-Installer für Trojaner und Kryptominer
Zusammenfassung

Die Sicherheitsforschungsgruppe von Elastic hat eine seit November 2023 aktive, finanziell motivierte Cyberkriminalgruppe namens REF1695 aufgedeckt, die ISO-Dateien als Verschleierungsmittel zur Verbreitung von Remote Access Trojans (RATs) und Kryptowährungsminern nutzt. Die Angreifer ködern Nutzer mit gefälschten Software-Installern und verwenden durchdachte Techniken, um Sicherheitsmechanismen wie Microsofts Defender SmartScreen zu umgehen. Neben dem Kryptomining generiert die Gruppe zusätzliche Einnahmen durch CPA-Betrug und das neue .NET-basierte Tool CNB Bot. Besonders bemerkenswert ist die Missbrauchung des legitimen Treibers WinRing0x64.sys zur CPU-Optimierung und die Nutzung von GitHub als Payload-Verteilungspunkt. Die Operation hat bereits Kryptowährungen im Wert von etwa 9.400 Euro generiert und nutzt raffinierte Persistenzmechanismen sowie Watchdog-Prozesse, um ihre Kontrolle zu bewahren. Für deutsche Nutzer und Unternehmen stellt diese Kampagne eine erhebliche Bedrohung dar, da die ISO-Lures leicht per E-Mail oder Downloads verbreitet werden können und die Malware erhebliche Ressourcen verbraucht sowie zu Datenschutzverlusten führt.

Die von Elastic Security Labs analysierten Forscher Jia Yu Chan, Cyril François und Remco Sprooten dokumentierten eine bemerkenswert organisierte Kampagne, die mehrere hochentwickelte Techniken kombiniert. Im Zentrum steht die Nutzung von ISO-Dateien als Infektionsvektor – ein Format, das häufig legitim für Softwareinstallationen verwendet wird und dadurch besondere Vertrauenswürdigkeit genießt.

Die Angreifer hinter REF1695 haben den neuen CNB Bot entwickelt, einen .NET-basierten Loader, der mit dem Schutzprogramm .NET Reactor verschleiert ist. Das Tückische: Der Bot führt Nutzer bewusst in die Irre. Nachdem die ISO-Datei geöffnet wird, erscheint eine Fehlermeldung, die vortäuscht, das System erfülle nicht die Systemanforderungen. Gleichzeitig manipuliert der Malware-Code im Hintergrund Windows Defender, indem er PowerShell nutzt, um umfassende Ausnahmen in der Microsoft Defender Antivirus einzurichten.

Die Kampagne zeigt zusätzliche Raffinesse durch den Missbrauch von GitHub als Verteilungskanal. Die Kriminellen hosten ihre Malware-Komponenten auf legitimen GitHub-Konten, was Erkennungssysteme täuscht und die Entdeckungsrate erheblich senkt. Diese Methode verlagert das Infektionsrisiko von verdächtiger Infrastruktur zu einer vertrauenswürdigen Plattform.

Neben CNB Bot setzte REF1695 auch PureRAT, PureMiner und einen speziellen XMRig-Loader ein. Besonders bemerkenswert ist die Nutzung des Windows-Kernel-Treibers “WinRing0x64.sys”, eines signierten, aber anfälligen Systemtreibers. Dieser ermöglicht Kernel-Level-Zugriff auf Hardware, um CPU-Einstellungen zu optimieren und damit Rechenleistung für das Kryptomining zu steigern – eine Technik, die seit 2019 in XMRig-Minern Verwendung findet.

Die Höhe der erzielten Gewinne unterstreicht die professionelle Organisation: Über vier überwachte Wallets sammelten die Kriminellen 27,88 XMR ein, was etwa 9.392 US-Dollar entspricht. Ein Watchdog-Prozess sorgt dafür, dass gelöschte Malware-Komponenten und Persistenzmechanismen automatisch wiederhergestellt werden.

Für deutsche Nutzer bedeutet dies: Vorsicht bei ungewöhnlichen Software-Downloads und ISO-Dateien aus fragwürdigen Quellen. Besonders die Social-Engineering-Komponente, mit der Nutzer zum Umgehen von Sicherheitsmechanismen verleitet werden, ist zeitgemäß und gefährlich.

Ähnliche Artikel