Malware ist seit dem Aufkommen der ersten Computerviren ein Katz-und-Maus-Spiel zwischen Hackern und Sicherheitsforschern. Heutzutage ist die meiste Schadsoftware bekannt, zumindest hinsichtlich der Art und Art der Verbreitung. Allerdings lassen sich Bösewichte gelegentlich neue Tricks einfallen, um ihre Spuren zu verwischen.

Das Sicherheitsanalyseunternehmen Mandiant hat kürzlich eine „noch nie dagewesene“ Angriffskette entdeckt, die Base64-Codierung auf mindestens zwei verschiedenen Websites verwendet, um die Nutzlast der zweiten Stufe einer dreistufigen Malware zu liefern. Bei den beiden Websites handelt es sich um die Technologie-Website ArsTechnica und die Video-Hosting-Website Vimeo.

Ein Benutzer hat im ArsTechnica-Forum ein Bild von Pizza mit der Überschrift „Ich liebe Pizza“ gepostet. An den Bildern und Texten selbst ist nichts auszusetzen. Dieses Foto wird jedoch von einer Website eines Drittanbieters gehostet und seine URL enthält eine Base64-Zeichenfolge. In ASCII konvertiertes Base64 sieht aus wie zufällige Zeichen, verschleiert in diesem Fall jedoch die binären Anweisungen zum Herunterladen und Installieren der zweiten Stufe des Malware-Pakets. In einem anderen Fall tauchte eine identische Zeichenfolge in der Beschreibung eines harmlosen Videos auf Vimeo auf.

Ein ArsTechnica-Sprecher sagte, ArsTechnica habe das im vergangenen November erstellte Konto gelöscht, nachdem ein anonymer Benutzer der Website den seltsamen Link zum Bild (unten) gemeldet hatte.

Mandiant sagte, es habe den Code als zu einem Bedrohungsakteur namens UNC4990 gehörend identifiziert, den es seit 2020 verfolgt. Für die meisten Benutzer werden diese Anweisungen keine Auswirkungen haben. Es kann nur auf Geräten ausgeführt werden, die bereits die Malware der ersten Stufe (explorer.ps1) enthalten. Die erste Stufe der Verbreitung von UNC4990 erfolgt über infizierte Flash-Laufwerke, die für die Verknüpfung mit auf GitHub und GitLab gehosteten Dateien konfiguriert sind.

Die zweite Stufe heißt „Leerraum“ und ist eine Textdatei, die in Browsern und Texteditoren leer erscheint. Wenn Sie es jedoch mit einem Hex-Editor öffnen, sehen Sie eine Binärdatei, die clevere Codierungsschemata wie Leerzeichen, Tabulatoren und neue Zeilen verwendet, um ausführbaren Binärcode zu erstellen. Mandiant gibt zu, dass er diese Technologie noch nie zuvor gesehen hat.

Mandiant-Forscher Yash Gupta sagte: „Dies ist eine andere und neuartige Art des Missbrauchs, die wir sehen, und sie ist schwer zu erkennen. Das ist nichts, was wir normalerweise bei Malware sehen. Das ist für uns sehr interessant und etwas, auf das wir hinweisen möchten.“

Nach der Ausführung fragt Emptyspace kontinuierlich den Befehls- und Kontrollserver ab und lädt entsprechend dem Befehl eine Hintertür mit dem Namen „Quietboard“ herunter. UNC4990 nutzt diese Hintertür aus, um Kryptowährungs-Miner auf infizierten Computern zu installieren. Allerdings gab Mandiant an, nur eine einzige Instanz der Installation von Quietboard verfolgt zu haben.

Angesichts der Seltenheit von Quietboard ist die Bedrohung durch die Angriffe von UNC4990 minimal. Allerdings können explorer.ps1 und Emptyspace höhere Infektionsraten aufweisen, wodurch Benutzer angreifbar sind. Mandiant erklärt in seinem Blog, wie man die Infektion erkennt.