Neue Phishing-Kampagne nutzt DBatLoader, um Remcos RAT zu platzieren: Was Analysten wissen müssen

Analysten von ANY.RUN deckten kürzlich eine heimliche Phishing-Kampagne auf, die den Remcos RAT (Remote Access Trojan) über die Loader-Malware DBatLoader verbreitete. Diese Angriffskette basiert auf einer Kombination aus verschleierten Skripten, der Umgehung der Benutzerkontensteuerung (UAC) und dem Missbrauch von LOLBAS (Living-Off-the-Land Binaries and Scripts), um herkömmlichen Erkennungsmethoden verborgen zu bleiben.

Was diese Kampagne besonders gefährlich macht, ist die Verwendung integrierter Windows-Tools und vertrauenswürdiger Systemprozesse, um sich in normale Aktivitäten einzufügen. Dadurch wird es viel schwieriger, sie allein durch Signaturen zu erkennen.

Lassen Sie uns die gesamte Infektionskette durchgehen und sehen, wie Sie diese Techniken mithilfe der richtigen Analyselösungen in Sekundenschnelle sicher erkennen können.

Um zu verstehen, wie diese Phishing-Kampagne von Anfang bis Ende funktioniert, schauen wir uns an, wie sie sich in der interaktiven Sandbox von ANY.RUN abspielt, wo jeder Schritt visuell dargestellt, nachvollziehbar und in Echtzeit aufgezeichnet wird.

Sehen Sie sich die vollständige Analysesitzung an

Von der ersten Übermittlung bis zum Verhalten nach der Ausnutzung zeigt die Sandbox das vollständige Bild und bietet SOC-Teams die Transparenz, die sie benötigen, um schneller zu reagieren. Unternehmen können so das Risiko einer stillen, langfristigen Gefährdung verringern.

Vollständige Angriffskette der neuesten Phishing-Bedrohung in der Sandbox von ANY.RUN:

Phishing Email → Malicious Archive → DBatLoader Execution → Obfuscated CMD Scripts → Remcos Injected into .exe

Innerhalb der Sandbox können Sie jede Phase des Angriffs visuell verfolgen, während er stattfindet, beispielsweise:

Beobachten Sie, wie das Archiv DBatLoader auslöst und wie verschleierte .cmd-Skripte beginnen, verdächtige Befehle auszuführen.

Sehen Sie genau, wann und wo Remcos in legitime Systemprozesse eingeschleust wird, wobei Prozessbäume und Speicherindikatoren in Echtzeit aktualisiert werden.

Beobachten Sie Persistenztechniken in Aktion, wie etwa die Erstellung geplanter Aufgaben, Registrierungsänderungen und die Verwendung von URL- und PIF-Dateien, die im Systemaktivitätsprotokoll deutlich hervorgehoben werden.

Um die Taktik hinter diesem Phishing-Angriff besser zu verstehen, können Sie das integrierte MITRE ATT&CK-Mapping in ANY.RUN nutzen. Klicken Sie einfach auf die Schaltfläche „ATT&CK“ in der oberen rechten Ecke der Sandbox-Oberfläche.

Diese Ansicht hebt die während der Analyse verwendeten Techniken sofort hervor, gruppiert nach Taktiken wie Ausführung, Persistenz, Rechteausweitung und mehr. Dies ist eine schnelle und analystenfreundliche Möglichkeit, Verhalten mit realen Bedrohungsdaten zu verknüpfen. Eine manuelle Zuordnung ist nicht erforderlich.

Unabhängig davon, ob Sie eine Triage durchführen oder Berichte schreiben, hilft diese Funktion den Sicherheitsteams dabei, schneller zu handeln, und liefert Managern klare Hinweise darauf, wie Bedrohungen wirken und wo Abwehrmaßnahmen umgangen werden könnten.

Hier sind einige der wichtigsten Taktiken, die in der Sitzung beobachtet wurden, und wie Sie sie in der Sandbox leicht erkennen können:

1. Faktura.exe: Die Köderdatei

Die Opfer erhalten eine Phishing-E-Mail mit einem Archiv mit Faktura.exe, das als legitime Rechnung getarnt ist. Nach dem Öffnen wird der Angriff gestartet.

Die meisten E-Mail-Sicherheitstools kennzeichnen diese Datei nicht, wenn sie unbekannt ist oder nicht mit bekannten IOCs übereinstimmt. In ANY.RUN sehen Sie Faktura.exe sofort im Prozessbaum und können beobachten, wie sie schädliche Aktivitäten auslöst. Das verschafft Analysten vom ersten Klick an Klarheit.

1. DBatLoader: Der Initial Loader

Sobald das Opfer das Phishing-Archiv öffnet, wird DBatLoader ausgeführt. Dieser startet die Infektionskette durch die Ausführung verschleierter Skripte.

Im Prozessbaum wird DBatLoader als abgelegte EXE-Datei angezeigt, die sofort cmd.exe startet. Sie können die Befehlszeilen und die Dateisystemaktivität überprüfen und genau sehen, wie die Skriptausführung beginnt.

1. Verschleierte Ausführung mit BatCloak-verpackten CMD-Dateien

Wir sehen in dieser Analyse-Sitzung, dass mit BatCloak verschleierte .cmd-Skripte zum Herunterladen und Ausführen der schädlichen Nutzlast verwendet werden.

Verschleierung verbirgt die Absicht vor statischen Scannern. In Sandboxen wie ANY.RUN können Sie die Befehlszeilenansicht öffnen und jede dekodierte Anweisung und jedes verdächtige Muster während der Ausführung sehen. Eine manuelle Dekodierung ist nicht erforderlich.

1. LOLBAS-Missbrauch mit Esentutl.exe

Das legitime Dienstprogramm esentutl.exe wird missbraucht, um cmd.exe in alpha.pif zu kopieren, einen umbenannten Dropper, der harmlos aussehen soll.

Dateikopiervorgänge mit esentutl.exe werden im ANY.RUN-Prozessbaum und in der Dateisystemaktivität angezeigt, einschließlich vollständiger Pfade und Befehlskontext.

1. Geplante Aufgaben lösen die Ausführung von URLs → PIFs aus

Es wird eine geplante Aufgabe zum Ausführen von Cmwdnsyn.url erstellt, die die PIF-Datei beim Booten oder in regelmäßigen Abständen startet.

Geplante Tasks sind ein gängiger Persistenzmechanismus, bleiben aber in komplexen Umgebungen oft unbemerkt. Mit ANY.RUN sehen Sie sofort, wann und wie die Task erstellt wird, verfolgen ihre Ausführungskette im Prozessbaum und prüfen zugehörige Datei- und Registrierungsänderungen.

Dadurch erhalten SOC-Teams einen klaren Überblick darüber, wie die Malware im Laufe der Zeit aktiv bleibt. Dies erleichtert die Erstellung von Erkennungsregeln, die Dokumentation der Persistenzmethode und die Gewährleistung ihrer vollständigen Entfernung.

1. UAC-Bypass mit gefälschtem „C:\Windows“-Verzeichnis

Ein simuliertes Verzeichnis (C:\Windows mit einem Leerzeichen) wird verwendet, um UAC-Eingabeaufforderungen zu umgehen, indem Eigenheiten bei der Pfadverarbeitung von Windows ausgenutzt werden.

Diese Phishing-Kampagne zeigt, wie weit Angreifer gehen, um verborgen zu bleiben. Sie nutzen integrierte Windows-Tools, manipulierte Persistenz und subtile Tricks zur Rechteausweitung, mit denen sie herkömmliche Abwehrmaßnahmen mühelos umgehen.

Mit Sandbox-Analysen, insbesondere mit ANY.RUN, erhalten Sicherheitsteams die nötige Klarheit und Geschwindigkeit, um diesen Bedrohungen immer einen Schritt voraus zu sein. Sie können jeden Schritt der Infektion beobachten, Techniken aufdecken, die statische Tools übersehen, und souverän handeln.

• Schnellere Reaktion auf Vorfälle dank Verhaltenseinblicken in Echtzeit
• Reduzierte Verweildauer durch Erkennung von Bedrohungen, bevor sie sich ausbreiten
• Besser informierte Sicherheitsentscheidungen durch Einblick in die Taktiken der Angreifer
• Verbesserte Compliance und Audit-Bereitschaft durch gemeinsam nutzbare, detaillierte Berichte

Zur Feier seines 9-jährigen Jubiläums bietet ANY.RUN eine zeitlich begrenzte Aktion an:

Holen Sie sich Bonuslizenzen für Interactive Sandbox oder verdoppeln Sie Ihr TI Lookup-Kontingent, nur verfügbar bis 31. Mai 2025.

Verpassen Sie nicht Ihre Chance, Ihren Workflow zur Bedrohungserkennung und -reaktion mit Lösungen zu verbessern, denen über 15.000 Organisationen weltweit vertrauen.