SOC Prime Bias: Mittel

29 May 2026 07:02 UTC

Gefälschte „Sichere Mail“ liefert bösartige Dateien als angebliche Kreditkartenfirmen

Author Photo
SOC Prime Team linkedin icon Folgen
Gefälschte „Sichere Mail“ liefert bösartige Dateien als angebliche Kreditkartenfirmen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

AhnLab hat eine Phishing-Kampagne aufgedeckt, die bösartige LNK-Dateien versendet, die als sichere Mailbenachrichtigungen eines großen koreanischen Kreditkartenanbieters getarnt sind. Beim Öffnen startet die Verknüpfung eine HTA über mshta.exe und PowerShell und lädt anschließend nachfolgende Nutzlasten herunter, die sich ändern, je nachdem, ob der Windows Defender aktiviert ist. Falls Defender aktiv ist, nutzen die Angreifer curl , um verschlüsselte Dateien abzurufen, die später dekomprimiert und ausgeführt werden. Wenn Defender deaktiviert ist, switcht die Kette zu direktem DLL-Laden und zusätzlicher Downloader-Aktivität. Die resultierende Malware unterstützt Informationsdiebstahl, Keylogging, Zwischenablagesammlung und Backdoor-Fähigkeiten.

Untersuchung

Die Untersuchung zeigte, dass die anfängliche LNK-Datei mshta.exestartet, welche eine HTA mit verschleiertem VBScript ausführt. Diese HTA lädt pipe.zipherunter, die Base64-kodierte Skripte mit den Namen 1.log, 1.ps1und 2.logenthält, die alle dekodiert und im Speicher ausgeführt werden. Wenn Defender inaktiv ist, lädt die Malware stattdessen user.txt and sys.logherunter, entschlüsselt sys.log in sys.dllund führt es über rundll32aus. Die Analyse der entschlüsselten user.txt offenbarte drei Google Drive URLs, die zum Abrufen weiterer bösartiger Dateien verwendet werden, darunter notepad.log, netund app, die unter %LOCALAPPDATA%.

gespeichert werden.

Empfohlene Abwehrmaßnahmen umfassen die Überprüfung der Legitimität von E-Mail-Anhängen, die Verhinderung der automatischen Ausführung von LNK-Dateien und die Überwachung der verdächtigen Nutzung von mshta.exe and curl. Sicherheitsteams sollten auch nach Dateien wie 1.log, 1.ps1, 2.log, notepad.log, netund app suchen und diese aus %TEMP% and %LOCALAPPDATA%entfernen. Darüber hinaus sollten Verteidiger das System auf unerwartete Registry-Änderungen untersuchen und sicherstellen, dass Windows Defender oder eine andere Endpunkt-Schutzplattform aktiviert und ordnungsgemäß konfiguriert bleibt.

Antwort

Wenn diese Aktivität festgestellt wird, isolieren Sie das betroffene System sofort, beenden Sie jegliche mshta.exe, curl, oder rundll32 Prozesse, die unbekannte Dateien ausführen, und bewahren Sie die bösartigen Artefakte für eine forensische Untersuchung auf. Führen Sie einen vollständigen Systemscan durch, setzen Sie möglicherweise offengelegte Anmeldeinformationen zurück und überwachen Sie die nachfolgende Backdoor-Aktivität im Zusammenhang mit notepad.log. Die Erkennungsinhalte sollten auch mit den beobachteten Indikatoren für einen Kompromiss aktualisiert werden, und die E-Mail-Sicherheitskontrollen sollten verstärkt werden, um ähnliche Phishing-Köder in der Zukunft zu blockieren.

Angriffsablauf

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Baseline Vorkontrolle muss bestanden sein.

  • Angriffs-Narrativ & Befehle:
    Ein Angreifer hat einen Fuß auf dem Zielsystem gefasst und möchte beliebigen Code ausführen, während er die traditionelle Anwendungskontrolle umgeht. Sie erstellen eine bösartige HTA-Datei, die verschleiertes VBScript enthält, das bei der Darstellung ein PowerShell-Backdoor auf die Festplatte schreibt. Um die HTA zu starten, verwenden sie eine Windows-Verknüpfung (.lnk), die powershell.exe mit einem Befehl aufruft, der mshta.exeeinleitet. Die Ausführung der Verknüpfung löst die PowerShell → mshta Kette aus und produziert genau die Telemetrie, die die Regel überwacht.

  • Regressionstest-Skript:

    # -------------------------------------------------
    # 1. Erstellen bösartige HTA mit verschleiertem VBScript
    # -------------------------------------------------
    $htaPath = "$env:TEMPevil.hta"
    $vbscript = @"
    <script language='VBScript'>
    ' Verschleierte VBScript Nutzlast (Beispiel: Datei schreiben)
    Dim fso, f
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True)
    f.WriteLine "Kompromittiert durch ATT&CK"
    f.Close
    </script>
    "@
    Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII
    
    # -------------------------------------------------
    # 2. Erstellen einer Verknüpfung (.lnk), die PowerShell → mshta ausführt
    # -------------------------------------------------
    $lnkPath = "$env:TEMPlaunch_malicious.lnk"
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    
    # PowerShell Befehl, der mshta mit der HTA Datei startet
    $psCommand = "mshta.exe `"$htaPath`""
    $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
    $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`""
    $shortcut.Save()
    
    # -------------------------------------------------
    # 3. Ausführen der Verknüpfung, um die Erkennung auszulösen
    # -------------------------------------------------
    Write-Host "Ausführen der bösartigen Verknüpfung..."
    & $lnkPath
    
    # -------------------------------------------------
    # 4. Pause, um das Sammeln von Protokollen zu ermöglichen
    # -------------------------------------------------
    Start-Sleep -Seconds 10
  • Bereinigungsbefehle:

    # Entfernen von erstellten Artefakten
    Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue
    Write-Host "Bereinigung abgeschlossen."