Forschende des Unternehmens Huntress haben eine Kampagne mit massenhaften Phishing-Mailings beobachtet, in der Angreifer die legitime Domain Google DoubleClick als Zwischenglied in einer Weiterleitungskette missbrauchen. Dadurch lassen sich E-Mail-Sicherheitsmechanismen umgehen, die Traffic über Google-Domains mit geringerer Wahrscheinlichkeit blockieren. Das eigentliche Ziel der Attacke ist die Auslieferung eines .NET-Loaders mit der Funktionalität eines Remote-Access-Trojaners, der Daten exfiltrieren, Befehle ausführen und zusätzliche bösartige Module nachladen kann. Die Kampagne betrifft Organisationen unabhängig von ihrer Branche, da sich die Phishing-Seiten dynamisch an jedes einzelne Opfer anpassen.
Infektionskette: vom HTML-Anhang zur vollständigen Kontrolle
Nach Angaben der Forschenden beginnt der Angriff mit einer Phishing-E-Mail, die einen HTML-Anhang enthält. Beim Öffnen initiiert die Datei eine Weiterleitung über ein meta-refresh-Tag auf eine URL des Click-Tracking-Systems Google DoubleClick Campaign Manager. Anschließend durchläuft das Opfer einen zusätzlichen Redirector, der die in Base64 kodierte E-Mail-Adresse des Opfers dekodiert und es auf eine Landingpage mit der Schaltfläche „Download PDF“ führt.
Das zentrale Merkmal der Kampagne ist die automatische Personalisierung der Phishing-Seiten. Laut Bericht zieht das System dynamisch das Corporate Branding und Standortdaten des Opfers heran und erzeugt so eine überzeugende Seite, ohne dass für jede Organisation ein eigener Köder erstellt werden muss. Das macht die Operation für die Angreifer skalierbar und wirtschaftlich effizient.
Ein Klick auf die Download-Schaltfläche führt zum Herunterladen eines ZIP-Archivs, das einen JavaScript-Loader enthält. Die weitere Kette sieht wie folgt aus:
- Der JavaScript-Loader extrahiert und startet ein PowerShell-Skript
- Das PowerShell-Skript lädt einen .NET-Loader von einem externen Server nach
- Der Loader fungiert als Stager: Er prüft, ob keine Analyseumgebung vorliegt, neutralisiert Schutzmechanismen und richtet Persistenz ein
- Die finale Payload wird über die Technik process hollowing gestartet – das Injizieren von Code in von Microsoft signierte Prozesse
Techniken zur Umgehung der Erkennung
Laut Huntress setzt die Malware auf einen mehrstufigen Ansatz, um die Schutzmechanismen von Windows zu umgehen:
- Patching von AMSI auf Ebene des nativen API – Deaktivierung der Antiviren-Überprüfung von Skripten und .NET-Assemblies
- Patching von ETW auf Ebene des nativen API – „Blindmachen“ der Windows-Telemetrie bis zur Etablierung im System
- Konfiguration von Ausnahmen in Microsoft Defender, um die Erkennung von Komponenten zu verhindern
- Erkennung von Analysewerkzeugen und Sandboxes mit anschließendem Beenden der Ausführung und Neustart der Maschine
Persistenz wird über Einträge in den Registry-Schlüsseln Run und RunOnce sowie durch das Ablegen des Loaders im Autostart-Ordner des Benutzers hergestellt. Nach dem Start stellt der Trojaner über rohe TCP-Sockets die Verbindung zu einem Command-and-Control-Server her, führt Systemaufklärung durch und verschafft den Angreifern die vollständige Kontrolle über die kompromittierte Maschine – einschließlich Datenabgriff, Befehlsausführung und Ausrollen zusätzlicher Module.
Bewertung der Auswirkungen
Die Nutzung legitimer Google-Infrastruktur als Zwischenglied ist kein neues, aber weiterhin wirksames Vorgehen. Viele E-Mail-Sicherheitslösungen und Webfilter führen Domains großer Tech-Unternehmen in Whitelists, was eine Blindzone erzeugt. In Kombination mit der automatischen Personalisierung der Phishing-Seiten erhöht dies die Wahrscheinlichkeit einer erfolgreichen Kompromittierung deutlich.
Wichtiger Hinweis: Die ursprüngliche Analyse von Huntress wurde nach der Veröffentlichung korrigiert – die anfängliche Zuordnung der finalen Payload zu DesckVB RAT wurde revidiert, sie wird nun als .NET-Loader klassifiziert. Das verringert die Sicherheit der genauen Identifikation der endgültigen Malware und weist auf die Notwendigkeit weiterer Untersuchungen hin.
Empfehlungen zum Schutz
Die Forschenden von Huntress schlagen eine Reihe konkreter Maßnahmen vor, mit denen sich die Infektionskette in frühen Phasen unterbrechen lässt:
- Gruppenrichtlinien für Skripte: Konfigurieren Sie GPO in Active Directory so, dass Dateien mit den Endungen
.vbs,.htaund.jsstandardmäßig in Notepad geöffnet werden. Dies blockiert die Ausführung des JavaScript-Loaders – des ersten aktiven Glieds der Kette nach dem Herunterladen des Archivs - E-Mail-Authentifizierung: Implementieren Sie DMARC-, DKIM– und SPF-Einträge, um die Wahrscheinlichkeit der Zustellung gefälschter E-Mails zu verringern
- Sandbox für Anhänge: Setzen Sie ein E-Mail-Gateway ein, das Anhänge und Links in einer isolierten Umgebung prüft, bevor sie an den Benutzer zugestellt werden
- Überwachung von PowerShell: Überwachen Sie die Ausführung von PowerShell-Prozessen durch untypische Elternprozesse, insbesondere durch Skript-Interpreter
- Kontrolle von process hollowing: Richten Sie Erkennungsregeln für Fälle ein, in denen von Microsoft signierte Prozesse untypische TCP-Netzwerkverbindungen aufbauen
Die wirkungsvollste Maßnahme in diesem Fall ist das erzwungene Öffnen von Skriptdateien in einem Texteditor über Gruppenrichtlinien – dies ist die einzige Aktion, die die Infektionskette in einem sehr frühen Stadium vollständig stoppen kann, nachdem der Benutzer das bösartige Archiv bereits heruntergeladen hat. Organisationen, die diese Maßnahme noch nicht umgesetzt haben, sollten ihre Einführung priorisieren und parallel die korrekte Konfiguration von DMARC-, DKIM- und SPF-Einträgen für ihre Mail-Domains überprüfen.
