Silver Fox APT tarnt Schadsoftware als Antiviren-Programm

Eine neue Cyberangriffskampagne nutzt eine täuschend echte Fake-Website für Antivirensoftware, um Nutzer zu täuschen und einen gefährlichen Fernzugriffstrojaner einzuschleusen. Die als Silver Fox APT bekannte, chinesischsprachige Hackergruppe imitiert dabei die beliebte Sicherheitssoftware Huorong.

Täuschend echte Falle für Sicherheitsbewusste

Die Angreifer setzen auf das Vertrauen der Nutzer in bekannte Sicherheitsmarken. Sie registrierten eine typosquatting-Domain – eine Adresse mit minimalem Tippfehler zum echten Anbieter. Auf der täuschend echten Kopie der Huorong-Website bieten sie einen trojanisierten Installer an. Das Perfide: Die Kampagne infiziert genau jene Nutzer, die sich eigentlich schützen wollen.

Hacker nutzen gezielt das Sicherheitsbedürfnis von Nutzern aus, um über manipulierte Software an sensible Daten zu gelangen. Dieser kostenlose Experten-Report enthüllt aktuelle Strategien der Cyberkriminellen und zeigt, wie Sie sich effektiv vor solchen Angriffen schützen. Effektive Strategien gegen Cyberkriminelle jetzt kostenlos entdecken

Der heruntergeladene Installer nutzt das legitime Nullsoft Scriptable Install System (NSIS), um weniger verdächtig zu wirken. Im Hintergrund bereitet er jedoch einen raffinierten Angriff vor: DLL Hijacking.

Angriffstechnik: Wie das DLL Hijacking funktioniert

Bei dieser Methode wird ausgenutzt, wie Windows-Anwendungen Code-Bibliotheken laden. Der trojanisierte Installer platziert eine schädliche DLL-Datei neben einer legitimen Anwendung. Startet der Nutzer das vertrauenswürdige Programm, lädt dieses versehentlich die bösartige Bibliothek – und aktiviert so heimlich die Schadsoftware.

Der Vorteil für die Angreifer: Die Malware wird von einem vertrauenswürdigen Prozess ausgeführt. Viele konventionelle Sicherheitslösungen übersehen diese Aktivität, da sie von einer legitimen Anwendung stammt. So umgeht die Schadsoftware effektiv die Verteidigung.

ValleyRAT: Der gefährliche Fernzugriffstrojaner

Das eigentliche Ziel ist die Installation von ValleyRAT, einem hoch entwickelten Remote Access Trojan. Einmal aktiv, gewährt er den Angreifern umfangreiche Kontrolle über das infizierte System. Der Trojaner kann:

• Umfassende Systemerkundung durchführen
• Daten wie Hostname, Benutzername und laufende Prozesse stehlen
• Seine Schadcode in den Speicher legitimer Prozesse wie rundll32.exe injizieren

Diese In-Memory-Execution macht die forensische Analyse extrem schwierig, da kaum Spuren auf der Festplatte zurückbleiben. Zudem besitzt ValleyRAT eine Selbstbereinigungsfunktion, die eigene und andere Systemdateien löscht, um die Untersuchung zu behindern.

Ob Phishing oder Trojaner – oft entscheiden psychologische Tricks der Hacker über den Erfolg eines Angriffs auf Unternehmen. Dieser 4-Schritte-Guide zur Hacker-Abwehr hilft Ihnen dabei, die neuesten Methoden der Kriminellen rechtzeitig zu erkennen und abzuwehren. Kostenlosen Anti-Phishing-Guide für Unternehmen anfordern

Schutzmaßnahmen gegen raffinierte Angriffe

DLL Hijacking ist keine neue Technik, bleibt aber bei APT-Gruppen und Cyberkriminellen äußerst beliebt. Die Kampagne von Silver Fox zeigt, wie etablierte Methoden mit cleverem Social Engineering kombiniert werden.

Experten empfehlen eine mehrschichtige Sicherheitsstrategie:

• Softwarequellen prüfen: Programme nur von der offiziellen Website des Herstellers herunterladen und auf verdächtige Domains achten.
• Nutzer sensibilisieren: Mitarbeiter sollten für Phishing und Typosquatting geschult werden.
• Modernen Endpunktschutz nutzen: Endpoint Detection and Response (EDR)-Lösungen können verdächtiges Verhalten wie das Laden von DLLs aus ungewöhnlichen Orten erkennen.
• Sichere Entwicklung: Programmierer können die vollständigen Pfade für benötigte DLLs festlegen, um das Hijacking zu erschweren.

Die Bedrohungslage entwickelt sich ständig weiter. Die Kombination aus technischen Exploits und psychologischer Manipulation macht eine wachsame, verhaltensbasierte Sicherheitsabwehr unverzichtbar.

boerse | 68609124 |