Sicherheitsexperten von Dr. Web haben eine hochentwickelte Malware-Kampagne aufgedeckt, die auf ein großes russisches Eisenbahnunternehmen abzielte. Die Angreifer nutzten dabei eine bisher unbekannte Schwachstelle im weit verbreiteten Yandex Browser aus, um sich in kompromittierten Systemen festzusetzen. Der Vorfall unterstreicht die zunehmende Raffinesse gezielter Cyberangriffe auf kritische Infrastrukturen.
Anatomie eines ausgeklügelten Angriffs
Die Attacke begann mit einer sorgfältig gestalteten Phishing-E-Mail, die als Bewerbungsschreiben getarnt war. Als Anhang enthielt sie eine Archivdatei mit einem scheinbaren PDF-Lebenslauf. In Wirklichkeit handelte es sich um eine Windows-Verknüpfung (.lnk-Datei), die beim Öffnen unbemerkt PowerShell-Befehle ausführte und zwei schädliche Skripte von einem entfernten Server herunterludt.
Das erste Skript lieferte einen Trojaner namens Trojan.Packed2.46324, der sich als Yandex Browser-Updater tarnte. Nach erfolgreicher Infektion entpackte dieser eine modulare Malware (Trojan.Siggen28.53599) mit Fernsteuerungsfunktionen, Informationssammlung und der Fähigkeit, zusätzliche Module nachzuladen. Bemerkenswert ist die implementierte Anti-Debugging-Technologie: Bei Erkennung von Antiviren-Prozessen, virtuellen Maschinen oder Debuggern löscht sich der Trojaner selbst.
Ausnutzung einer Schwachstelle im Yandex Browser
Das zweite Skript installierte einen besonders raffinierten Trojaner (Trojan.Siggen27.11306), der eine Sicherheitslücke im Yandex Browser ausnutzte. Durch geschicktes Platzieren einer manipulierten DLL-Datei in einem Ordner mit hoher Priorität bei der DLL-Suche konnte die Malware die Berechtigungen des Browsers übernehmen. Dies ermöglichte ihr, Befehle auszuführen, Prozesse zu starten und Firewall-Regeln für den Internetzugang zu erben.
Mehrschichtige Verschlüsselung und Payload-Ausführung
Nach der Aktivierung durch den Browserstart entschlüsselte die bösartige DLL ihre Payload in zwei Schritten: Zunächst mit einem pfadbasierten Schlüssel und dann mit einem global kodierten Schlüssel. Der resultierende Shellcode lud einen .NET-basierten Stager herunter, der wiederum weitere Malware aus dem Netz nachladen sollte. Zum Zeitpunkt der Untersuchung war der finale Payload jedoch nicht mehr verfügbar.
Reaktion und Behebung der Schwachstelle
Nach Benachrichtigung durch die Sicherheitsforscher hat Yandex umgehend reagiert und mit Version 24.7.1.380 ein Sicherheitsupdate für den Browser veröffentlicht. Der entdeckten Schwachstelle wurde die Kennung CVE-2024-6473 zugewiesen. Nutzer des Yandex Browsers sollten sicherstellen, dass sie die aktuellste Version installiert haben, um sich vor dieser und ähnlichen Bedrohungen zu schützen.
Dieser Vorfall verdeutlicht die anhaltende Bedrohung durch hochentwickelte Cyberangriffe auf kritische Infrastrukturen. Unternehmen müssen wachsam bleiben, ihre Sicherheitsmaßnahmen kontinuierlich verbessern und Mitarbeiter regelmäßig in Bezug auf Phishing-Gefahren schulen. Nur durch einen ganzheitlichen Sicherheitsansatz, der technische Lösungen mit Mitarbeiterschulungen kombiniert, können Organisationen sich effektiv gegen solche ausgeklügelten Bedrohungen schützen.