Microsoft warnt vor Malware-Kampagne mit Spiele-Tools

Microsoft warnt vor einer Kampagne, die im Browser und auf Chat-Plattformen Spiele-Tools verspricht, jedoch Malware liefert. Führen Opfer die Schadsoftware aus, installiert das einen Remote Access Trojan (RAT), der Angreifern vollen Zugriff auf den Rechner gewährt.

Das berichtet Microsofts Threat-Intelligence-Team etwa auf Bluesky. Es handelt sich demnach um „trojanisierte“ Gaming-Werkzeuge. Konkret benennt Microsoft die ausführbaren Dateien „RobloxPlayerBeta.exe“ und „xeno.exe“. Die erstere Datei trägt den Namen einer legitimen Roblox-Executable, die zweitere soll ein „Executer“ sein, mit dem sich Roblox-Spiele optimieren und „verbessern“ lassen sollen.

Downloader und Malware statt Gaming-Tools

Microsoft benennt es nicht eindeutig, ob die angeblichen Gaming-Tools zur Verschleierung ihrer bösen Absicht auch die erwarteten Funktionen mitbringen oder ausschließlich den Infektionsprozess starten. Nach Start der Datei lädt die Schadsoftware eine portable Java-Laufzeitumgebung nach und startet damit ein bösartiges Java-Archiv (.jar) namens „jd-gui.jar“. Der Downloader setzt dabei auf PowerShell-Anweisungen und Living-off-the-Land-Binärdateien (LOLBins), also Befehlen, die Windows bereits standardmäßig mitbringt. Er setzt etwa „cmstp.exe“ ein, mit dem sich Profile im Verbindungsmanager-Dienst installieren lassen. Dem Befehl können sie .inf-Dateien übergeben, die ihrerseits böswillige Befehle enthalten und DLLs von entfernten Servern laden und ausführen. Damit umgehen sie gegebenenfalls Schutzmaßnahmen, da cmstp.exe eine legitime Microsoft-Datei ist.

Der Erkennung versucht die Malware außerdem durch Löschen des initialen Downloaders und der Einrichtung von Ausnahmen in den Windows-Defender-Einstellungen für die RAT-Komponenten zu entgehen. Persistente Einnistung gehört ebenfalls zum Malware-Repertoire. Sie ergänzt eine geplante Aufgabe und ein Start-Skript namens „world.vbs“. Am Ende hat es eine Mehrzweck-Malware verankert, die als Loader, Starter, Downloader und RAT fungiert. Microsoft nennt als IP-Adresse des Command-and-Control-Servers die 79.110.49[.]15, die sich jedoch ändern kann. Von dort aus können die Angreifer diverse Aktionen auslösen, wie Datendiebstahl oder die Installation weiterer Malware.

Microsoft empfiehlt, ausgehende Verbindungen zu der IP-Adresse zu überwachen und Alarme für Downloads von java.zip oder jd-gui.jar von nicht-Unternehmens-Ressourcen einzurichten. Admins sollten zudem nach zugehörigen Prozessen und Komponenten Ausschau halten. Die Ausnahmen im Windows Defender und die geplanten Aufgaben sollen IT-Verantwortliche ebenfalls etwa auf zufällige Namen überprüfen und bösartige Aufgaben und Start-Skripte entfernen. Betroffene Geräte sollen Admins zudem isolieren und die Zugangsdaten von Nutzern der kompromittierten Maschine zurücksetzen. Microsoft nennt noch Hashwerte von verdächtigen Dateien und Verbindungen auf powercat[.]dog/Port 443 als Indizien für eine Infektion (Indicators of Compromise, IOC).

Cyberkriminelle haben Spielerinnen und Spieler dauerhaft im Visier. Bereits im vergangenen Jahr versuchten Täter etwa, auf Discord-Servern Opfer mit vermeintlichen Beta-Tests für Spiele zu ködern. Die ausführbaren Dateien installierten jedoch lediglich Infostealer.

(dmk)