Forschende von Huntress haben eine Kampagne mit massenhaften Phishing-Mailings dokumentiert, in der Angreifer die legitime Domain des Google DoubleClick Campaign Manager als Zwischenglied in der Infektionskette nutzen. Ziel ist die Auslieferung des Remote-Access-Trojaners DesckVB RAT, der auf der .NET-Plattform basiert. Ein zentrales Merkmal der Kampagne ist die automatische Personalisierung der Phishing-Seiten für jedes einzelne Opfer, ohne dass separate Kits für jede Zielorganisation erstellt werden müssen – das macht den Angriff skalierbar und wirtschaftlich attraktiv. Organisationen mit Windows-Infrastruktur wird empfohlen, Richtlinien zur Skriptausführung sowie Einstellungen zur E-Mail-Sicherheit zu überprüfen.
Infektionskette: vom HTML-Anhang bis zur vollständigen Kontrolle
Nach Angaben der Forschenden beginnt der Angriff mit einer Phishing-E-Mail, die einen HTML-Anhang enthält. Beim Öffnen führt die Datei über ein Meta-Refresh-Tag eine Weiterleitung zu einer URL des Click-Tracking-Systems Google DoubleClick Campaign Manager aus. Da die Domain doubleclick.net zu Google gehört, blockieren viele E-Mail-Schutzlösungen und Webfilter eine solche Weiterleitung mit geringerer Wahrscheinlichkeit.
Anschließend wird das Opfer über einen zusätzlichen Redirector geführt, der die E-Mail-Adresse aus Base64 dekodiert und den Nutzer auf eine Zielseite mit der Schaltfläche „Download PDF“ leitet. Wie berichtet, zieht das Phishing-Kit dynamisch das Corporate Branding und Standortdaten des Opfers heran und erzeugt so ohne manuelle Anpassung für jede einzelne Organisation eine überzeugende Nachbildung einer legitimen Webseite.
Ein Klick auf die Download-Schaltfläche startet den Download eines ZIP-Archivs, das eine mehrstufige Infektionskette auslöst:
- JavaScript-Loader – extrahiert und startet ein PowerShell-Skript
- PowerShell-Skript – lädt einen .NET-Loader von einem externen Server
- .NET-Loader (Stager) – prüft auf Analyseumgebungen, schaltet Schutzfunktionen ab und richtet Persistenzmechanismen ein
- DesckVB RAT – finale Payload, die mittels der Technik process hollowing in einen legitimen Prozess injiziert wird
Bemerkenswert ist, dass für die Injektion des Schadcodes Prozesse verwendet werden, die mit Microsoft-Zertifikaten signiert sind, was die Erkennung auf Basis von Verhaltensanalysen erheblich erschwert.
Techniken zur Umgehung von Schutzmechanismen und zur Persistenz
Laut Huntress setzt DesckVB RAT bereits vor der Etablierung einer dauerhaften Präsenz im System ein aggressives Bündel an Techniken ein, um Monitoring-Lösungen zu blenden:
- Patching von AMSI (Antimalware Scan Interface) auf Ebene nativer APIs – verhindert, dass Antivirenlösungen Skripte und nachgeladenen Code im Speicher scannen können
- Patching von ETW (Event Tracing for Windows) – unterdrückt Windows-Telemetrie und entzieht EDR-Lösungen damit ihren Ereignisstrom
- Konfiguration von Ausnahmen in Microsoft Defender – fügt Pfade und Prozesse zur Ausnahmeliste der Antivirensoftware hinzu
- Erkennung von Analyseumgebungen – erkennt das Vorhandensein von Analysetools oder Sandboxes; bei Fund beendet der Schadcode Prozesse und startet das System neu
Zur Persistenz im System nutzt der Trojaner den Angaben zufolge mehrere Mechanismen parallel: Einträge in den Registry-Zweigen Run und RunOnce sowie das Platzieren des Loaders im Autostart-Ordner des Benutzers.
Fähigkeiten des Trojaners
Nach dem Start baut DesckVB RAT über rohe TCP-Sockets eine Verbindung zum Command-and-Control-Server auf, führt eine Systemaufklärung durch und bietet den Operatoren den Forschenden zufolge unter anderem folgende Möglichkeiten:
- Exfiltration von Daten aus dem kompromittierten System
- Ausführung beliebiger Befehle
- Auslieferung und Bereitstellung zusätzlicher Payloads
Auswirkungsanalyse
Die Nutzung legitimer Google-Infrastruktur als Zwischenstation ist keine neue, aber eine wirksame Methode, um die Erkennungsrate an E-Mail-Gateways und Web-Proxys zu senken. In Kombination mit der automatischen Personalisierung der Phishing-Seiten entsteht dadurch eine Bedrohung für Organisationen jeder Größe: Angreifende müssen keine vorgelagerte Reconnaissance betreiben, um überzeugende Köder für ein bestimmtes Unternehmen zu erstellen.
Besonders gefährdet sind Organisationen, in denen keine Richtlinien zur Skriptausführung konfiguriert sind, keine Sandbox zur Analyse von E-Mail-Anhängen bereitsteht und keine Mechanismen zur Authentifizierung von E-Mails implementiert wurden.
Empfehlungen zum Schutz
Zur Abwehr dieser und ähnlicher Kampagnen werden folgende Maßnahmen empfohlen:
- Richtlinien zur Skriptausführung: über Active-Directory-Gruppenrichtlinien (GPO) die Standardaktion für Dateien mit den Endungen .vbs, .hta und .js so konfigurieren, dass sie in einem Texteditor (Notepad) geöffnet werden – dies blockiert die erste Stufe der Infektionskette
- E-Mail-Authentifizierung: Implementierung von DMARC-, DKIM– und SPF-Einträgen, um die Wahrscheinlichkeit zu verringern, dass gefälschte E-Mails bei Endnutzenden ankommen
- Sandbox für Anhänge: Einsatz eines E-Mail-Gateways, das Anhänge und Links vor der Zustellung an die Empfänger in einer isolierten Umgebung analysieren kann
- Registry-Monitoring: Überwachung von Änderungen an den Schlüsseln Run, RunOnce und am Inhalt des Autostart-Ordners
- Integritätskontrolle von AMSI und ETW: Einsatz von EDR-Lösungen, die Versuche erkennen können, AMSI- und ETW-Funktionen auf Ebene nativer APIs zu patchen
Diese Kampagne verdeutlicht eindrücklich, warum ein mehrschichtiges Sicherheitskonzept weiterhin ein kritisches Grundprinzip ist: Keine einzelne Kontrollinstanz kann garantieren, die gesamte Angriffskette zu blockieren. Für Administratoren von Windows-Infrastrukturen sollte die Konfiguration von GPOs zur Blockierung der automatischen Ausführung von Skriptdateien höchste Priorität haben – diese einzelne Maßnahme kann die Infektionskette bereits in der frühesten Phase unterbrechen, bevor zusätzliche Komponenten nachgeladen werden.
