Bösartige OpenClaw Skill verbreitet Remcos RAT und GhostLoader

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

Bösartige OpenClaw Skill verbreitet Remcos RAT und GhostLoader

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Bedrohungsakteure veröffentlichten eine bösartige OpenClaw-Funktion namens DeepSeek-Claw, die KI-Agenten oder Entwickler täuscht, einen bewaffneten MSI-Installer herunterzuladen. Sobald dieser ausgeführt wird, legt der Installer eine signierte GoToMeeting-Binärdatei ab, die eine bösartige DLL seitlädt, die dann den Remcos RAT lädt. Ein separater Infektionsweg liefert eine stark verschleierte Node.js-Nutzlast, die den plattformübergreifenden GhostLoader-Stealer installiert. Die Kampagne zeigt, wie kompromittierte KI-Workflow-Plugins als Supply-Chain-Vektor für anhaltenden Fernzugriff und Datendiebstahl genutzt werden können.

Untersuchung

Zscaler ThreatLabz verfolgte die gesamte Infektionskette von der bösartigen Skill-Markdown-Datei zum MSI-Download und dem DLL-Sideloading von G2M.exe, und dem In-Memory-Loader, der für das Patchen von ETW und AMSI verantwortlich ist. Die Forscher stellten die Remcos-Konfiguration wieder her, einschließlich ihrer Command-and-Control-Adresse und Mutex, und identifizierten auch die Verwendung von GhostLoader npm Skripte und Bash-basierte Installationsprogramme für macOS- und Linux-Umgebungen. Der Bericht dokumentiert weiterhin mehrere Ausweichtechniken, einschließlich API-Verschleierung, TEA-basierte Entschlüsselung und Sandbox-Erkennungsprüfungen.

Minderung

Verteidiger sollten den Zugriff auf die bösartige MSI und verwandte URLs blockieren, unsignierte DLLs, die von legitimen GoToMeeting-Prozessen geladen werden, überwachen und die strikte Validierung der OpenClaw-Skill-Inhalte vor der Nutzung durchsetzen. Endpunktschutzmaßnahmen sollten auch ETW- und AMSI-Patchversuche erkennen und die Ausführung von PowerShell or msiexec aus nicht-administrativen Kontexten einschränken. Organisationen sollten Codesignaturen für alle Binärdateien verifizieren und Least-Privilege-Kontrollen für die Integration von KI-Agenten und Plugins anwenden.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Endpunkt sofort, beenden alle Remcos- oder GhostLoader-Prozesse und entfernen die bösartige DLL und MSI-Artefakte vom System. Sammeln Sie Speicherauszüge und bewahren Sie die Remcos-Konfiguration für die forensische Analyse auf, setzen Sie dann kompromittierte Anmeldeinformationen zurück und rotieren Sie alle betroffenen Zertifikate oder Geheimnisse. Sicherheitsteams sollten auch Bedrohungsdatenfeeds mit den identifizierten Indikatoren aktualisieren und die Kontrollen zur Lieferkettenkontrolle für die Nutzung von KI-Plugins stärken.

"graph TB %% Class definitions classDef technique fill:#cfe2f3 classDef tool fill:#e2efda classDef malware fill:#f9cb9c classDef process fill:#ffd966 %% Technique nodes tech_user_exec_copypaste["Technik – T1204.004 Benutzer Ausführung: Bösartiges Kopieren und Einfügen Beschreibung: Nutzer oder KI-Agenten dazu verleiten, eine kopierte PowerShell-Einzeiler auszuführen."] class tech_user_exec_copypaste technique tech_user_exec_link["Technik – T1204.001 Benutzer Ausführung: Bösartiger Link Beschreibung: Opfer klickt auf einen bösartigen Download-Link, der dieselbe Kette startet."] class tech_user_exec_link technique tech_msiexec["Technik – T1218.007 Systembinar-Proxyausführung: Msiexec Beschreibung: Verwendung von msiexec zum leisen Herunterladen und Installieren eines entfernten MSI-Pakets."] class tech_msiexec technique tech_dll_hijack["Technik – T1574.001 Ausführungspfad Hijacken: DLL-Sideu2011Loading Beschreibung: Laden einer bösartigen DLL durch Platzierung neben einer legitimen ausführbaren Datei."] class tech_dll_hijack technique tech_active_scanning["Technik – T1595 Aktives Scannen Beschreibung: Patching von EtwEventWrite und AmsiScanBuffer zur Umgehung von Telemetrie- und Antu2011malware-Scans."] class tech_active_scanning technique tech_virt_user_check["Technik – T1497.002 Virtualisierungsausweichung: Benutzeraktivitätsprüfungen Beschreibung: Erkennt benutzeru2011gesteuerte Aktivität zur Bestimmung, ob die Ausführung in einer Sandbox erfolgt."] class tech_virt_user_check technique tech_virt_time_check["Technik – T1497.003 Virtualisierungsausweichung: Zeitprüfungen Beschreibung: Führt Verzögerung und zeitbasierte Verzögerungen ein, um die Analyse zu verhindern."] class tech_virt_time_check technique tech_obfusc_embedded["Technik – T1027.009 Verschleierte Dateien oder Informationen: Eingebettete Nutzlasten Beschreibung: Endgültige RAT-Nutzlast verschlüsselt mit TEAu2011CBC und nur im Speicher entschlüsselt."] class tech_obfusc_embedded technique tech_keylogging["Technik – T1056.001 Eingabekapitur: Keylogging Beschreibung: Erfasst Tastatureingaben vom kompromittierten System."] class tech_keylogging technique tech_clipboard["Technik – T1115 Zwischenablagedaten Beschreibung: Liest den Inhalt der Zwischenablage für die Exfiltration."] class tech_clipboard technique tech_steal_cookie["Technik – T1539 Web-Sitzungs-Cookie stehlen Beschreibung: Extrahiert aktive Browser-Cookies, um MFA zu umgehen."] class tech_steal_cookie technique tech_alt_auth["Technik – T1550.004 Alternative Authentifizierungsmaterialien verwenden: Web-Sitzungs-Cookie Beschreibung: Wiederverwendet gewonnene Cookies als gültige Authentifizierungstoken."] class tech_alt_auth technique tech_forge_cookie["Technik – T1606.001 Web-Anmeldeinformationen fälschen: Web-Cookies Beschreibung: Stellt gefälschte Web-Anmeldeinformationen basierend auf gestohlenen Cookies her."] class tech_forge_cookie technique tech_private_keys["Technik – T1552.004 Anmeldeinformationen aus Passwortspeichern: Private Schlüssel Beschreibung: Erntet SSH-Privatschlüssel vom Dateisystem."] class tech_private_keys technique tech_cred_files["Technik – T1552.001 Anmeldeinformationen in Dateien Beschreibung: Sucht nach Dateien, die Klartext-Anmeldeinformationen enthalten."] class tech_cred_files technique tech_browser_creds["Technik – T1555.003 Anmeldeinformationen aus Webbrowsern Beschreibung: Sichert gespeicherte Passwörter von installierten Browsern."] class tech_browser_creds technique tech_code_repo["Technik – T1213.003 Daten aus Informationsrepositorien: Code-Repositories Beschreibung: Sammelt Kryptowährungs-Wallets und API-Token aus Quellcode-Dateien."] class tech_code_repo technique tech_trusted_dev_util["Technik – T1127 Vertrauenswürdige Entwicklerdienstprogramme Proxy-Ausführung Beschreibung: Führt eine bösartige Nutzlast über npm-Lebenszyklusskripte und Node.js auf macOS/Linux aus."] class tech_trusted_dev_util technique tech_input_injection["Technik – T1674 Eingabe-Injektion Beschreibung: Markdown in der Fähigkeit injiziert Befehle, die von KI-Agenten analysiert und ausgeführt werden."] class tech_input_injection technique %% Tool / Malware / Prozessknoten process_powershell["Prozess – PowerShell Eineu2011Liner-Ausführung initiiert durch Benutzer Kopie-Einfügen."] class process_powershell process tool_msiexec["Werkzeuge – Msiexec Zweck: Lautlose Installation der bösartigen MSI."] class tool_msiexec tool tool_g2m_exe["Werkzeuge – GoToMeeting ausführbare Datei (legitime signierte Binärdatei)."] class tool_g2m_exe tool tool_g2m_dll["Werkzeuge – Bösartige g2m.dll geladen über Sideu2011Loading."] class tool_g2m_dll tool malware_remcos["Malware – Remcos RAT Fähigkeiten: Fernzugriff, Keylogging, Datenexfiltration."] class malware_remcos malware tool_npm["Werkzeuge – npm-Lebenszyklusskripte"] class tool_npm tool tool_nodejs["Werkzeuge – Node.js-Laufzeit"] class tool_nodejs tool malware_ghostloader["Malware – GhostLoader Ziel: macOS/Linux"] class malware_ghostloader malware %% Verbindungen u2013 Hauptausführungspfad tech_user_exec_copypaste –>|triggers| process_powershell process_powershell –>|verwendet| tech_msiexec tech_msiexec –>|auszuführen| tool_msiexec tool_msiexec –>|installiert MSI, das ablegt| tool_g2m_exe tool_msiexec –>|installiert MSI, das ablegt| tool_g2m_dll tool_g2m_exe –>|erleichtert| tech_dll_hijack tool_g2m_dll –>|geladen von| tech_dll_hijack tech_dll_hijack –>|führt dazu| tech_active_scanning tech_active_scanning –>|kombiniert mit| tech_virt_user_check tech_active_scanning –>|kombiniert mit| tech_virt_time_check tech_virt_user_check –>|ermöglicht| tech_virt_time_check tech_dll_hijack –>|liefert| tech_obfusc_embedded tech_obfusc_embedded –>|entschlüsselt zu| malware_remcos malware_remcos –>|führt aus| tech_keylogging malware_remcos –>|führt aus| tech_clipboard malware_remcos –>|exfiltriert| tech_steal_cookie tech_steal_cookie –>|ermöglicht| tech_alt_auth tech_alt_auth –>|ermöglicht| tech_forge_cookie malware_remcos –>|erntet| tech_private_keys malware_remcos –>|erntet| tech_cred_files malware_remcos –>|erntet| tech_browser_creds malware_remcos –>|sammelt von| tech_code_repo %% Alternativer Lieferweg tool_npm –>|läuft| tool_nodejs tool_nodejs –>|legt ab| malware_ghostloader malware_ghostloader –>|nutzt| tech_trusted_dev_util %% Eingabe-Injektionspfad tech_input_injection –>|initiiert| tech_user_exec_copypaste %% Bösartiger Link-Pfad tech_user_exec_link –>|triggers| process_powershell "

Angriffsablauf

Angriffserzählung & Befehle:
1. Vorbereitung: Der Angreifer erhält eine bösartige DLL-Nutzlast (z.B. eine RAT) und benennt sie um g2m.dll um eine legitime Bibliothek zu imitieren.
2. Platzierung: Die DLL wird in dasselbe Verzeichnis wie die legitime GoToMeeting-Binärdatei kopiert (C:Program FilesGoToMeeting). Da Windows der DLL-Suchreihenfolge folgt (Anwendungsverzeichnis zuerst), G2M.exe wird sie geladen g2m.dll anstatt der erwarteten Bibliothek.
3. Ausführung: Der Angreifer startet G2M.exe. Während der Prozessgenerierung protokolliert Sysmon Image = *G2M.exe. Kurz danach zeichnet Sysmon ImageLoaded = *g2m.dll.
Dieses genaue Muster erfüllt die Bedingung der Sigma-Regel (Auswahl1 und Auswahl2), was zu einem Alarm führt.

Regression Test Script: (PowerShell – selbstenthalten)

# -------------------------------------------------
# Regressionstest-Skript für DLL-Sideloading über GoToMeeting
# -------------------------------------------------
$g2mPath = "C:Program FilesGoToMeeting"
$exe    = Join-Path $g2mPath "G2M.exe"
$malDll = Join-Path $g2mPath "g2m.dll"

# 1. Überprüfen Sie, ob die legitime ausführbare Datei vorhanden ist
if (-not (Test-Path $exe)) {
    Write-Error "G2M.exe nicht gefunden unter $exe. Bitte GoToMeeting zuerst installieren."
    exit 1
}

# 2. Bereitstellen einer harmlosen Platzhalter-DLL (Simulation der bösartigen Nutzlast)
#    Hier kopieren wir eine vorhandene System-DLL, um einfach eine Datei mit dem richtigen Namen zu haben.
$sourceDll = "$env:SystemRootSystem32kernel32.dll"
Copy-Item -Path $sourceDll -Destination $malDll -Force

Write-Host "[+] Bösartige DLL wurde als $malDll platziert"

# 3. Starten der signierten Binärdatei – dies löst das Sideloading aus
Write-Host "[+] Starten von G2M.exe, um das DLL-Load auszulösen..."
$proc = Start-Process -FilePath $exe -PassThru

# 4. Warten Sie eine kurze Zeit, bis das ImageLoaded-Ereignis protokolliert wird
Start-Sleep -Seconds 5

# 5. Aufräumen – Prozess beenden und DLL entfernen
if ($proc.HasExited -eq $false) {
    Stop-Process -Id $proc.Id -Force
    Write-Host "[+] G2M.exe (PID $($proc.Id)) wurde beendet"
}

Remove-Item -Path $malDll -Force
Write-Host "[+] Bösartige DLL wurde aufgeräumt"
# -------------------------------------------------

Aufräumbefehle: (Wenn der Angreifer nur Artefakte entfernen möchte)

# Entfernen der bösartigen DLL, falls sie noch vorhanden ist
$dllPath = "C:Program FilesGoToMeetingg2m.dll"
if (Test-Path $dllPath) {
    Remove-Item -Path $dllPath -Force
    Write-Host " $dllPath entfernt"
}

# Optional restliche G2M.exe-Prozesse beenden
Get-Process -Name "G2M" -ErrorAction SilentlyContinue |
    Stop-Process -Force
Write-Host "Restliche G2M.exe-Prozesse beendet"

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten