Die Bedrohungslandschaft im Bereich Cybercrime wird zunehmend raffinierter, wenn es um die Monetarisierung von Malware-Infektionen geht. Sicherheitsforscher von Elastic Security Labs haben eine finanziell motivierte Kampagne mit dem Codenamen REF1695 aufgedeckt, die seit November 2023 aktiv ist. Was diese Operation besonders macht, ist die Kombination aus klassischer Social Engineering-Täuschung, dem Missbrauch legitimer Infrastruktur und tiefgreifenden Systemmanipulationen.
Die ISO-Falle: Wenn der Nutzer selbst den Schutz umgeht
Der Angriffsvektor der Kampagne ist bemerkenswert banal, aber effektvoll. Die Angreifer nutzen gefälschte Software-Installer, die als ISO-Dateien ausgeliefert werden. Im Inneren dieser Images befindet sich ein mit .NET Reactor verschleierter Loader sowie eine Textdatei. Diese Textdatei enthält eine explizite Anleitung für das Opfer, wie die Microsoft Defender SmartScreen-Schutzfunktion umgangen wird – konkret die Aufforderung, auf „More info“ und dann auf „Run anyway“ zu klicken.
Hier zeigt sich ein klassisches Problem der IT-Security: Der schwächste Punkt ist oft der Mensch. SmartScreen warnt explizit vor nicht erkannten Anwendungen, doch die psychologische Kombination aus einer angeblichen Software, die dringend benötigt wird, und einer Anleitung, wie man die Warnung umgeht, führt erstaunlich oft zum Erfolg. Sobald der Loader ausgeführt wird, ruft dieser PowerShell auf, um weitreichende Ausschlüsse im Microsoft Defender Antivirus zu konfigurieren. So tarnt sich die Malware vor zukünftigen Scans. Gleichzeitig wird dem Nutzer eine Fehlermeldung angezeigt: „Unable to launch the application. Your system may not meet the required specifications.“ – ein geschickter Schachzug, um den Nutzer zu beruhigen und davon abzuhalten, weiterzuforschen.
CNB Bot und die Monetarisierung der Infektion
Im Hintergrund lädt der Loader dann ein bisher unbekanntes .NET-Implantat namens CNB Bot hoch. Dieser Bot fungiert als flexibler Loader, der über HTTP POST-Requests mit einem Command-and-Control (C2) Server kommuniziert. Er kann weitere Payloads herunterladen und ausführen, sich selbst aktualisieren und bei Bedarf Spuren verwischen.
Die Monetarisierung durch REF1695 ist vielschichtig. Neben dem klassischen Krypto-Mining setzen die Angreifer auf CPA (Cost Per Action) Betrug. Opfer werden auf sogenannte Content-Locker-Seiten umgeleitet, die unter dem Vorwand einer Software-Registrierung Aktionen des Nutzers monetarisieren. Neben CNB Bot verteilt die Kampagne auch andere Schadsoftware wie PureRAT, PureMiner und einen maßgeschneiderten .NET-basierten XMRig-Loader.
Missbrauch legitimer Treiber für maximalen Ertrag
Ein besonders kritischer Aspekt der Kampagne ist der Missbrauch von legitimen, signierten Windows-Kernel-Treibern. Wie bereits in der FAUX#ELEVATE-Kampagne beobachtet, nutzen die Angreifer den Treiber „WinRing0x64.sys“. Dieser ist zwar legitim und signiert, weist jedoch Schwachstellen auf, die es der Malware ermöglichen, Kernel-Level-Hardwarezugriff zu erhalten.
Das Ziel dieses Zugriffs ist tückisch: Die Malware modifiziert die CPU-Einstellungen, um die Hash-Raten beim Krypto-Mining zu maximieren. Der Rechner des Opfers wird also nicht nur heimlich als Schurkenarbeiter missbraucht, sondern auch noch künstlich überlastet, was zu einer verkürzten Hardware-Lebensdauer und potenziellen Systemabstürzen führen kann. Ein weiterer Miner, SilentCryptoMiner, geht noch einen Schritt weiter: Er nutzt direkte Systemaufrufe zur Umgehung von Erkennungsmechanismen, deaktiviert den Windows-Sleep- und Hibernate-Modus, richtet über geplante Tasks Persistenz ein und nutzt einen Watchdog-Prozess, der gelöschte Schadsoftware und Persistenz-Mechanismen sofort wiederherstellt.
GitHub als Trusted Platform missbraucht
Ein zentraler Schwachpunkt im Verteidigungsapparat moderner Netzwerke ist das Vertrauen in etablierte Plattformen. Die Angreifer von REF1695 nutzen GitHub als Content Delivery Network (CDN), um ihre Payloads zu hosten. Diese Taktik verschiebt den Download- und Ausführungsschritt von einer potenziell blockierten, operator-kontrollierten Infrastruktur auf eine vertrauenswürdige Plattform. Da GitHub in den meisten Unternehmensnetzwerken und Endgeräten gewhitelistet ist, verringert dies die „Detection Friction“ erheblich. Die Malware kommuniziert scheinbar nur mit einem harmlosen Code-Repository.
Fazit: Ein lukratives Geschäft mit geringem Risiko
Die Ausbeute der Kampagne mag auf den ersten Blick bescheiden wirken: 27.88 XMR (ca. 9.392 US-Dollar) über vier verfolgte Wallets. Doch diese Zahl ist trügerisch. Sie zeigt lediglich den Ertrag eines kleinen, abgegrenzten Teils der Operation. Tatsächlich belegt die Konstanz, mit der solche Kampagnen operieren, dass sich das Modell auszahlt. Die Kosten für die Angreifer sind minimal, da sie kostenlose Infrastruktur (GitHub) und den Strom ihrer Opfer nutzen.
Die REF1695-Kampagne ist ein Lehrstück in moderner Kriminologie: Sie kombiniert Social Engineering, den Missbrauch von Vertrauen (GitHub, signierte Treiber) und tiefgreifende Systemmanipulation. Für Verteidiger bedeutet dies, dass klassische Signaturerkennung und reine URL-Filtering nicht mehr ausreichen. Application Control, strikte Treiber-Signierungsrichtlinien und vor allem ein gut geschultes Bewusstsein der Nutzer für Social-Engineering-Taktiken bleiben essenziell.
Quelle: The Hacker News
