Von falschen Proton-VPN-Seiten bis hin zu Gaming-Mods, dieser Windows-Infostealer ist überall
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Windows-Infostealer, bekannt als NWHStealer, verbreitet sich über gefälschte VPN-Downloadseiten, gebündelte Hardware-Tools, Mining-Tools und kompromittierte Gaming-Mods. Die Malware wird typischerweise in bösartigen ZIP-Archiven geliefert, die sich auf Selbstinjektion, DLL-Hijacking und Process Hollowing stützen und häufig RegAsm als Zielprozess nutzen. Nach der Ausführung stiehlt NWHStealer Browser-Anmeldedaten, sammelt Kryptowährungs-Wallet-Daten und exfiltriert die gestohlenen Informationen über verschlüsselte Command-and-Control-Kanäle.
Untersuchung
Forscher identifizierten zwei primäre Methoden der Auslieferung. In einer Methode starteten bösartige ZIP-Archive, die auf einer kostenlosen Webhosting-Plattform gehostet wurden, den Stealer durch Selbstinjektion. In der anderen Methode lieferten gefälschte Proton-VPN-Websites einen DLL-basierten Loader, der DLL-Hijacking missbrauchte. Der Loader entschlüsselte dann eingebettete Ressourcen, höhlte einen RegAsm-Prozess aus und führte schließlich NWHStealer im Speicher aus oder injizierte es direkt in browserbezogene Prozesse.
Abschwächung
Benutzer sollten vermeiden, Software von unzuverlässigen Quellen herunterzuladen, einschließlich inoffizieller GitHub-Veröffentlichungen, verdächtiger SourceForge-Seiten und Links, die über YouTube-Beschreibungen geteilt werden. Organisationen sollten digitale Signaturen vor der Ausführung überprüfen, Endpunktsicherheitstools verwenden, die bekannte bösartige URLs blockieren, und auf verdächtige geplante Aufgaben oder versteckte Verzeichnisse innerhalb der Benutzerprofilpfade achten.
Reaktion
Verteidiger sollten nach bekannten NWHStealer-DLL-Namen, RegAsm-Prozess-Injektionsaktivitäten, versteckten Ordnern unter LOCALAPPDATA, und geplanten Aufgaben suchen, die Binärdateien starten, die als legitime Systemdateien getarnt sind. Die identifizierten Command-and-Control-Domänen und der Telegram-Totbriefkasten-Link sollten sofort blockiert werden. Betroffene Systeme sollten isoliert und durch eine vollständige forensische Analyse untersucht werden.
„graph TB
%% Klassendefinitionen
classDef action fill:#ffcccc
classDef tool fill:#c2c2f0
classDef process fill:#c2f0c2
classDef malware fill:#ffd966
%% Knoten
initial_access[„Aktion – T1204.002 Benutzer-Ausführung: Opfer lädt bösartiges ZIP von einer gefälschten VPN- oder Hardware-Utility-Seite herunter und führt es aus.“]
class initial_access action
malicious_zip[„Malware – Name: Bösartiges ZIP-Archiv
Verschleierung: T1027.015 Komprimierung“]
class malicious_zip malware
powershell_loader[„Prozess – Name: PowerShell-Loader
Technik: T1059.001 Befehls- und Skript-Interpreter“]
class powershell_loader process
defender_exclusion[„Aktion – T1564.012 Artefakte verstecken: Fügt seine Ordner zur Windows Defender-Ausschlussliste hinzu.“]
class defender_exclusion action
impair_defenses[„Aktion – T1562 Verteidigung beeinträchtigen: Ändert Sicherheitseinstellungen über PowerShell, um Erkennung zu vermeiden.“]
class impair_defenses action
cmstp_tool[„Werkzeug – Name: cmstp.exe
Technik: T1218.003 System Binary Proxy Execution“]
class cmstp_tool tool
uac_bypass[„Aktion – T1548.002 UAC umgehen: Verwendet CMSTP mit einer manipulierten INF-Datei, um erhöhte Rechte zu erlangen.“]
class uac_bypass action
regasm_tool[„Werkzeug – Name: regasm.exe
Technik: T1218.009 System Binary Proxy Execution“]
class regasm_tool tool
process_hollowing[„Aktion – Process Hollowing: Erstellt Regasm-Prozess und höhlt diesen über NT-APIs aus.“]
class process_hollowing action
dll_hijack[„Aktion – T1574.001 DLL-Hijacking: Setzt bösartige iviewers.dll ein, die durch legitime ausführbare Dateien geladen wird.“]
class dll_hijack action
persistence[„Aktion – T1546 Ereignisgesteuerte Ausführung & T1547 Boot- oder Anmelde-Autostart: Plant Aufgaben, um das Payload beim Benutzer-Login mit erhöhten Rechten auszuführen.“]
class persistence action
cred_browser[„Aktion – T1555.003 Anmeldedaten aus Webbrowsern: Erntet Passwörter und Cookies aus mehreren Browsern.“]
class cred_browser action
cred_cookie[„Aktion – T1539 Web-Session-Cookie stehlen: Extrahiert Sitzungs-Cookies für Webdienste.“]
class cred_cookie action
browser_discovery[„Aktion – T1217 Browser-Informations-Entdeckung: Erfasst Browser-Profile, Erweiterungen und Einstellungen.“]
class browser_discovery action
c2_dead_drop[„Aktion – T1102.001 Webdienst-Totbriefkasten-Löser: Ruft zusätzliche C2-Informationen aus einem Telegram-Totbriefkasten-Kanal ab.“]
class c2_dead_drop action
c2_bidirectional[„Aktion – T1102.002 Webdienst-Bidirektionale Kommunikation: Kommuniziert mit C2 über verschlüsseltes HTTP.“]
class c2_bidirectional action
%% Verbindungen
initial_access –>|liefert| malicious_zip
malicious_zip –>|führt aus| powershell_loader
powershell_loader –>|erstellt versteckte Verzeichnisse und fügt Ausschlüsse hinzu| defender_exclusion
powershell_loader –>|modifiziert Sicherheitseinstellungen| impair_defenses
powershell_loader –>|ruft auf| cmstp_tool
cmstp_tool –>|ermöglicht| uac_bypass
uac_bypass –>|startet| regasm_tool
regasm_tool –>|führt aus| process_hollowing
process_hollowing –>|legt ab| dll_hijack
dll_hijack –>|erleichtert| persistence
persistence –>|bietet Basis für| cred_browser
cred_browser –>|sammelt| cred_cookie
cred_browser –>|sammelt| browser_discovery
cred_cookie –>|verwendet für| c2_dead_drop
browser_discovery –>|liefert Informationen an| c2_dead_drop
c2_dead_drop –>|kommuniziert über| c2_bidirectional
„
Angriffsfluss
Erkennungen
Mögliche WindowsCodecs-DLL-Side-Loading-Via-Calc (über image_load)
Ansehen
Möglicher Telegram-Missbrauch als Command-and-Control-Kanal (über dns_query)
Ansehen
Verdächtige Command-and-Control durch unübliche Top-Level-Domain (TLD) DNS-Anfrage (über dns)
Ansehen
IOCs (HashSha256) zu erkennen: Von gefälschten Proton-VPN-Websites bis hin zu Gaming-Mods ist dieser Windows-Infostealer überall
Ansehen