SOC Prime Bias: Medium

17 Apr 2026 15:20 UTC

Ein gefälschter Slack-Download gibt Angreifern einen versteckten Desktop auf Ihrem Rechner

Author Photo
SOC Prime Team linkedin icon Folgen
Ein gefälschter Slack-Download gibt Angreifern einen versteckten Desktop auf Ihrem Rechner
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Ein bösartiger Installer, getarnt als Slack, wird über Tippfehler-Domains verbreitet, um ahnungslose Benutzer zu täuschen. Nach der Ausführung installiert er eine legitime Slack-Anwendung zusammen mit einem verdeckten Loader, der sich mit einem Command-and-Control-Server verbindet, eine verschlüsselte HVNC-Nutzlast abruft und diese in explorer.exe injiziert. Die Malware erstellt dann eine unsichtbare Desktop-Sitzung, die es Angreifern ermöglicht, auf der kompromittierten Maschine zu surfen, zu interagieren und Aktionen durchzuführen, ohne dass das Opfer es bemerkt. Dieser Ansatz ist besonders gefährlich in Umgebungen, in denen die Marke Slack sowohl von Einzelpersonen als auch von Unternehmen vertraut wird.

Untersuchung

Forscher entpackten den Installer und entdeckten zwei temporäre Dateien: slack.tmp, die ein legitimes Squirrel-Update-Paket enthielt, und svc.tmp, das als bösartiger Loader diente. Die Analyse zeigte, dass der Loader Persistenz durch einen Run-Registrierungsschlüssel herstellte, Windows-APIs zur Laufzeit dynamisch auflöste, eine verschlüsselte DLL herunterlud, sie als wmiprvse_*.tmp speicherte und eine Sektion-basierte Injektion verwendete, um sie in explorer.exe zu laden. Die Ermittler beobachteten auch ausgehende Kommunikation mit einem Command-and-Control-Server über TCP-Port 8081. Zusätzliche Anti-Analyse-Logik war vorhanden, einschließlich Debugger-Erkennung und Sandbox-Timing-Checks.

Minderung

Benutzer sollten Slack nur von der offiziellen slack.com Website oder aus vertrauenswürdigen gespeicherten Links herunterladen und digitale Signaturen vor der Ausführung eines Installers überprüfen. Organisationen sollten Echtzeitschutz aktivieren, der in der Lage ist, bekannte bösartige Domains und verdächtige ausführbare Dateien zu blockieren. Verteidiger sollten auch unerwarteten ausgehenden Datenverkehr über Port 8081, unbekannte Run-Registrierungseinträge und ungewöhnliche untergeordnete Prozesse überwachen, die mit vertrauenswürdigen Anwendungen in Verbindung stehen. Verhaltensbasierte Erkennungen können helfen, versteckte Desktop-Sitzungen und HVNC-bezogene Aktivitäten zu identifizieren, bevor Angreifer vollen interaktiven Zugriff erhalten.

Reaktion

Wenn diese Aktivität entdeckt wird, trennen Sie den betroffenen Endpunkt umgehend vom Netzwerk, beenden Sie den bösartigen Loader und alle HVNC-bezogenen Prozesse und entfernen Sie den Persistenzmechanismus aus dem Run-Registrierungsschlüssel. Ein vollständiger Malware-Scan sollte durchgeführt werden, und alle damit verbundenen bösartigen Domains und IP-Adressen sollten in der gesamten Umgebung blockiert werden. Alle auf der kompromittierten Maschine verwendeten Anmeldeinformationen sollten von einem sauberen Gerät aus zurückgesetzt werden, und das Sicherheitsteam sollte forensische Artefakte sammeln, um weitere Untersuchungen und die Abgrenzung zu unterstützen.

Angriffsablauf

Simulationsausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorflugskontrolle muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:

    1. Erstzugriff – Der Angreifer liefert einen trojanisierten Installer namens slack-4-49-81.exe über eine Phishing-E-Mail.
    2. Ausführung – Das Opfer führt die Datei aus; es extrahiert einen versteckten Loader svc.tmp to %TEMP%.
    3. Versteckte Desktop-Erstellung (T1564.003)svc.tmp ruft CreateProcess mit SW_HIDEauf, was eine versteckte Desktop-Sitzung erzeugt, die ein Fernzugriffstool hostet.
    4. Persistenz (T1547.013 & T1546.016) – Der Loader registriert einen COM-Server, der über eine Verknüpfung im Autostart-Ordner gestartet wird, was die Ausführung beim Neustart sicherstellt.
    5. Mögliche Rootkit-Installation (T1014) – Wenn er erhöht ist, svc.tmp legt einen Rootkit-Treiber ab in %SystemRoot%System32driversmaldrv.sys.
  • Regressionstest-Skript: Das Skript reproduziert die Schritte 2–4 mit harmlosen Binärdateien (Kopien von notepad.exe) und bewahrt dabei genau die Dateinamen, die die Regel überwacht.

    # -------------------------------------------------
    # Regressionstest – Gefälschte Slack-Installer-Simulation
    # -------------------------------------------------
    # 1. Bereiten Sie die gefälschten Binärdateien vor (verwenden Sie gutartige notepad.exe)
    $temp = $env:TEMP
    $installer = Join-Path $temp "slack-4-49-81.exe"
    $loader    = Join-Path $temp "svc.tmp"
    
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force
    
    # 2. Führen Sie den Installer aus – dies wird die Erkennungsregel auslösen
    Write-Host "[*] Starten des gefälschten Installers ..."
    Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null
    
    # 3. Simulieren der Erstellung eines versteckten Desktops (Loader)
    Write-Host "[*] Starten des versteckten Loaders ..."
    Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null
    
    # 4. Erstellen einer Verknüpfung im Autostart-Ordner, um Persistenz zu emulieren
    $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"
    $shortcutPath = Join-Path $startup "Slack Hidden.lnk"
    
    $shell = New-Object -ComObject WScript.Shell
    $shortcut = $shell.CreateShortcut($shortcutPath)
    $shortcut.TargetPath = $loader
    $shortcut.WindowStyle = 7   # Versteckt
    $shortcut.Save()
    
    Write-Host "[+] Simulation abgeschlossen. SIEM auf Ereignisse überprüfen, bei denen das Bild auf 'slack-4-49-81.exe' oder 'svc.tmp' endet."
  • Bereinigungsbefehle: Entfernen Sie die Testartefakte und alle erstellten Verknüpfungen.

    # Aufräumskript – mit demselben Benutzerkontext ausführen
    $temp = $env:TEMP
    Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue
    Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue
    
    $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk"
    Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue
    
    Write-Host "[+] Aufräumarbeiten abgeschlossen."