2660248

Falsche BaWue-Website verteilt Malware im Ukraine-Kontext

17.05.2022 | 08:45 Uhr | Frank Ziemann

Mit einer gefälschten Website der Landesregierung Baden-Württembergs verbreiten bislang unbekannte Akteure ein Trojanisches Pferd. Als Köder nutzen sie das Interesse an Nachrichten zur aktuellen Lage in der Ukraine.

Eine noch immer aktive Fake-Website verbreitet Malware unter dem Deckmantel der Landesregierung Baden-Württembergs. Wie das Sicherheitsunternehmen Malwarebytes in seinem Blog berichtet, nutzen die Täter das Interesse an Meldungen zur aktuellen Lage in der Ukraine und zu politischen Entscheidungen in diesem Zusammenhang. Sie haben sich dazu eine DE-Domain gesichert, die vormals dem Land Baden-Württemberg gehörte und deren Registrierung abgelaufen war.

Unter der Adresse collaboration-bw[.]de hatte die Landesregierung eine Kollaborationsplattform für Innovationsinitiativen betrieben. Mit der reputablen Web-Adresse haben die Täter eine Website im Look der „The Länd“-Kampagne Baden-Württembergs erstellt. Während die Startseite nur einen schmucklosen Baustellen-Hinweis zeigt, finden sich auf einer von dort nicht direkt ansteuerbaren Seite im „The Länd“-Look vorgeblich Informationen zur Ukraine-Krise.

Fake-Website (Screenshot)
Vergrößern Fake-Website (Screenshot)

Auf dieser Seite lädt ein blauer Download-Button dazu ein, ein aktuelles Dokument mit Tipps für den Arbeitsalltag herunterzuladen. Wer die ZIP-Datei mit dem Namen „2022-Q2-Bedrohungslage-Ukraine“ herunterlädt und entpackt, findet darin eine CHM-Datei gleichen Namens. CHM (Compiled HTML) ist ein älteres Dateiformat des Windows-Hilfesystems, das mehrere HTML-Dateien enthalten kann. Wird diese spezielle CHM-Datei geöffnet, erscheint eine gefälschte Fehlermeldung in deutscher Sprache, während im Hintergrund Powershell-Befehle ausgeführt werden.

Malware in Aktion

Das erste Powershell-Script ruft ein weiteres Script von der Fake-Website ab und führt es aus. Es installiert im neu angelegten Verzeichnis „SecuriyHealthService“ im Benutzerverzeichnis ein Trojanisches Pferd. Es besteht aus einer Batch-Datei namens „MonitorHealth.cmd“, die lediglich ein etwa 12 kB großes PowerShell-Script namens „Status.txt“ aufruft. Der Aufruf der CMD-Datei wird durch einen Eintrag in der Windows Aufgabenplanung täglich zur einer festen Uhrzeit wiederholt.

Das Powershell-Script Status.txt ist ein Schädling der Kategorie RAT (Remote Access Trojan/Tool). Er ermöglicht demnach also den Fernzugriff auf befallene Rechner. In diesem Fall sammelt er Daten auf dem Rechner und lädt sie, um keinen Verdacht zu erregen, im JSON-Format auf einen Server mit einer weiteren DE-Domain. Zudem kann er weitere Dateien aus dem Netz herunterladen und Scripte starten. Um sich an Windows-Schutzmaßnahmen vorbeizumogeln, enthält das Script eine AES-verschlüsselte Funktion namens „bypass“, die es on-the-Fly entschlüsselt.

▶Die besten Antivirus-Tools im Test


Wer hinter dieser Malware-Kampagne steckt und was sie genau bezwecken soll, ist bislang unklar. Naheliegend scheint, russische Akteure zu verdächtigen, doch ohne konkrete Hinweise und Verbindungen bleibt das reine Spekulation. Es könnten auch Täter beliebiger anderer Provenienz sein, die ein aktuelles Thema als Köder nutzen.

Erkennung durch Antivirusprogramme

Bislang erkennen erst recht wenige Antivirusprogramme die schädliche CHM-Datei – der serienmäßige Windows Defender gehört nicht dazu. Bei der Status.txt, dem eigentlichen Schädling, sieht es noch magerer aus. Auch Malwarebytes' eigene Antivirus-Software erkennt beide Dateien offenbar noch nicht. Die Scan-Ergebnisse stammen von AV-Test und VirusTotal .

Antivirus

Malware-Name (CHM-Datei)

Malware-Name (Status.txt)

Avast

Other:Malware-gen [Trj]

AVG

Other:Malware-gen [Trj]

Bitdefender

Exploit.CHM-Downloader.Gen

Emsisoft

Exploit.CHM-Downloader.Gen (B)

eScan

Exploit.CHM-Downloader.Gen

Eset Nod32

PowerShell/TrojanDownloader.Agent.FIR trojan

PowerShell/ReverseShell.R

G Data

Exploit.CHM-Downloader.Gen

Kaspersky

HEUR:Trojan-Downloader.Script.Agent.gen

Rising

Trojan.MouseJack/HTML!1.BE26

Symantec

Downloader

Trellix (FireEye)

Exploit.CHM-Downloader.Gen

TrendMicro

HEUR_CHM.E

ZoneAlarm

UDS:DangerousObject.Multi.Generic

PC-WELT Marktplatz

2660248