Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine typosquattierte Webseite, die Microsoft Support imitiert, verbreitet ein gefälschtes Windows Update MSI. Nach der Installation platziert das MSI eine auf Electron basierende App, die ein VBS-Starter auslöst, einen umbenannten Python-Interpreter startet und Module zum Diebstahl von Anmeldedaten lädt. Gestohlene Daten werden über Render, Cloudflare Workers und GoFile geleitet, während die Persistenz durch einen Run-Registrierungswert und eine Startverknüpfung festgelegt wird. Die Aktivität richtet sich an französischsprachige Nutzer.
Untersuchung
Forscher haben WindowsUpdate 1.0.0.msi erhalten und bestätigt, dass es einen Electron-Wrapper (WindowsUpdate.exe) sowie einen VBS-Starter (AppLauncher.vbs) installiert. Der Electron-Prozess startet dann eine versteckte Python-Laufzeitumgebung (_winhost.exe), die gängige Bibliotheken für Informationsdiebstahl importiert, um Browseranmeldedaten, Discord-Tokens und Zahlungsdaten zu sammeln. Netzwerktelemetrie zeigt anfängliches Host-Profiling bei www.myexternalip.com und ip-api.com, gefolgt von C2-Verkehr zu datawebsync-lvmv.onrender.com und sync-service.system-telemetry.workers.dev, wobei eine Exfiltration zu store8.gofile.io beobachtet wird. Persistenz wird durch die Erstellung eines SecurityHealth-Wertes unter HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun und die Platzierung von Spotify.lnk im Benutzer-Startup-Ordner etabliert.
Abmilderung
Entfernen Sie den SecurityHealth-Run-Wert und löschen Sie Spotify.lnk aus dem Benutzer-Startup-Ordner. Löschen Sie das WindowsUpdate-Verzeichnis unter AppDataLocalPrograms und entfernen Sie den temporären WinGettools-Ordner. Setzen Sie gespeicherte Passwörter zurück, aktivieren Sie MFA/2FA und führen Sie einen vollständigen Scan mit aktuellen Anti-Malware-Schutzmaßnahmen durch.
Reaktion
Wenn Warnungen auf das verdächtige MSI, die VBS-Ausführung oder die Erstellung des Run-Schlüssels ausgelöst werden, isolieren Sie den Host, erfassen Sie flüchtige Daten, und führen Sie eine forensische Untersuchung der relevanten AppData-Pfade durch. Blockieren Sie die identifizierten C2-Domains und überwachen Sie den Verkehr zu den aufgelisteten Wiedererkennungsdiensten. Entfernen Sie Persistenzartefakte und verstärken Sie sichere Update-Workflows, um wiederholte Ausführungen zu verhindern.
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef collection fill:#ffd580 classDef credential fill:#ffb3ba classDef defense fill:#d9d9d9 classDef c2 fill:#ffeb99 classDef exfil fill:#c2c2f0 action_user_click[„Aktion – Phishing: Benutzer klickt bösartigen Link“] class action_user_click action process_msiexec[„Prozess – msiexec führt MSI aus“] class process_msiexec process process_vbs[„Prozess – VBScript Ausführung“] class process_vbs process process_electron[„Prozess – getarnte Electron App“] class process_electron process process_python[„Prozess – getarnter Python Prozess“] class process_python process persistence_registry[„Persistenz – Registry Run Keys“] class persistence_registry persistence persistence_shortcut[„Persistenz – Shortcut Autostart“] class persistence_shortcut persistence collection_ip[„Datensammlung – IP Adressen“] class collection_ip collection credential_browser[„Credentials – Browser Passwörter“] class credential_browser credential credential_discord[„Credentials – Discord Tokens“] class credential_discord credential defense_terminate[„Defense Evasion – Security Prozesse beenden“] class defense_terminate defense defense_obfuscation[„Defense Evasion – obfuskiertes JavaScript“] class defense_obfuscation defense c2_communicate[„C2 – HTTP Kommunikation“] class c2_communicate c2 exfil_cloud[„Exfiltration – Cloud Upload“] class exfil_cloud exfil action_user_click –> process_msiexec process_msiexec –> process_vbs process_vbs –> process_electron process_electron –> process_python process_python –> persistence_registry process_python –> persistence_shortcut process_python –> collection_ip process_python –> credential_browser process_python –> credential_discord process_python –> defense_terminate process_python –> defense_obfuscation defense_obfuscation –> c2_communicate c2_communicate –> exfil_cloud
Angriffsfluss
Erkennungen
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Services / -Tools (über Proxy)
Anzeigen
Möglicher IP-Lookup-Domain-Kommunikationsversuch (über DNS)
Anzeigen
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Services / -Tools (über DNS)
Anzeigen
Verdächtige Binärdateien / Skripte im Autostart-Standort (über Datei-Ereignis)
Anzeigen
LOLBAS WScript / CScript (über Prozess-Erstellung)
Anzeigen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über Registrierungsereignis)
Anzeigen
IOCs (HashSha256) zur Erkennung: Diese gefälschte Windows-Support-Website liefert passwortstehlende Malware
Anzeigen
Verdächtige Netzwerkverbindungen im Zusammenhang mit Passwortstealer-Malware [Windows-Netzwerkverbindung]
Anzeigen
Gefälschte Windows-Support-Seite liefert passwortstehlende Malware [Windows-Prozess-Erstellung]
Anzeigen
Registrierungspersistenz über gefälschten Windows Security Health-Eintrag [Windows-Registrierungsereignis]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Prüfflug muss bestanden sein.
Begründung: In diesem Abschnitt werden die genauen Ausführungsschritte der gegnerischen Technik (TTP) beschrieben, um die Erkennungsregel auszulösen. Befehle und Erzählungen müssen direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer hat Zugriff auf den Computer des Benutzers erlangt und möchte Persistenz über Neustarts hinweg aufrechterhalten, während er einer oberflächlichen Prüfung entgeht. Sie platzieren eine bösartige Nutzlast mit dem Namen WindowsUpdate.exe im AppData-Ordner des Benutzers und erstellen dann einen Run-Schlüssel mit dem Namen SecurityHealth der auf diese Nutzlast verweist und absichtlich den legitimen „Windows Security Health“-Dienst imitiert. Da die Regel genau diesen Schlüsselpunk überwacht, sollte die Aktivität als auffällig markiert werden.powershell # 1. Platzieren der bösartigen Nutzlast (simuliert mit einer harmlosen Textdatei zum Testen) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "This is a dummy malicious executable for testing." -Encoding ASCII # 2. Erstellen des bösartigen Run-Schlüssels, der sich als SecurityHealth tarnt $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
Skript für Regressionsprüfung:
powershell # ------------------------------------------------- # Regressionstest – Registrierungspersistenz-Maskerade # ------------------------------------------------- # Zweck: Die genaue Telemetrie reproduzieren, die die Sigma-Regel erwartet. # Funktioniert auf Windows 10/11 mit Administratorrechten. # Nutzlast-Standort definieren $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # Sicherstellen, dass das Verzeichnis existiert if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # Eine Dummy-Executable erstellen (in einem realen Test wäre dies die bösartige Binärdatei) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # Den Run-Schlüssel mit einem getarnten Namen registrieren $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "Bösartiger Run-Schlüssel erstellt. Erwarten Sie bald eine Erkennungswarnung." # ------------------------------------------------- -
Bereinigungsbefehle:
powershell # Entfernen des bösartigen Run-Schlüssels Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # Löschen der Dummy-Nutzlast-Datei und ihres Ordners $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."