Java-basierter RAT verbreitet sich über trojanisierte Gaming-Tools in Browsern und Chat-Apps
Microsoft entdeckt eine gefährliche Kampagne, bei der ein Java-basierter Remote Access Trojaner (RAT) über manipulierte Gaming-Utilities verbreitet wird. Erfahren Sie, wie Angreifer PowerShell und Java nutzen, um Systeme zu infiltrieren.
Java-basierter RAT verbreitet sich über trojanisierte Gaming-Utilities
Das Microsoft Threat Intelligence-Team hat eine bösartige Kampagne identifiziert, bei der Cyberkriminelle einen Java-basierten Remote Access Trojaner (RAT) über trojanisierte Gaming-Tools verbreiten. Diese kompromittierten Anwendungen werden über Browser und Chat-Plattformen verbreitet und verleiten ahnungslose Nutzer dazu, die Schadsoftware auszuführen.
Technische Details des Angriffs
Laut den Erkenntnissen von Microsoft beginnt die Angriffskette mit einem bösartigen Downloader, der eine portable Java-Laufzeitumgebung vorbereitet. Anschließend führt der Downloader eine schädliche Java-Archivdatei (JAR) mit dem Namen jd-gui.jar aus und nutzt PowerShell, um den Infektionsprozess zu ermöglichen.
Microsoft hat zwar keine spezifischen Indicators of Compromise (IoCs) oder genaue Verteilungsvektoren offengelegt, doch die Verwendung von Java-basierter Malware und PowerShell deutet auf einen mehrstufigen Angriff hin, der darauf abzielt, Erkennung zu umgehen und Persistenz auf kompromittierten Systemen zu etablieren.
Auswirkungen und Risiken
Die Verbreitung eines RAT ermöglicht es Angreifern:
- Unautorisierten Fernzugriff auf infizierte Systeme zu erlangen
- Sensible Daten, einschließlich Anmeldedaten und persönlicher Informationen, zu exfiltrieren
- Zusätzliche Malware-Payloads für weitere Ausnutzung einzusetzen
- Persistenz in kompromittierten Netzwerken aufrechtzuerhalten
Da gezielt Gaming-Utilities angegriffen werden, nutzt die Kampagne wahrscheinlich Nutzer aus, die nach gecrackter Software, Mods oder Cheats suchen – gängige Verbreitungswege für Malware in der Gaming-Community.
Empfehlungen für Sicherheitsteams
Um die mit dieser Bedrohung verbundenen Risiken zu minimieren, sollten Unternehmen und Einzelpersonen folgende Maßnahmen ergreifen:
- Sperren oder überwachen verdächtiger PowerShell-Ausführungen, insbesondere solcher, die Java-basierte Prozesse initiieren
- Downloads von nicht vertrauenswürdigen Gaming-Utilities, Mods oder Cheats aus inoffiziellen Quellen einschränken
- Endpoint Detection and Response (EDR)-Lösungen einsetzen, um anomalen Java-Laufzeitverhalten zu erkennen
- Nutzer über die Risiken aufklären, die mit dem Herunterladen von Software von nicht verifizierten Plattformen verbunden sind
- Java-Laufzeitumgebungen aktualisieren und patchen, um bekannte Schwachstellen zu beheben
Microsoft hat diese Kampagne bisher keiner bestimmten Bedrohungsakteursgruppe zugeordnet. Weitere Analysen werden erwartet, sobald zusätzliche IoCs verfügbar sind.