SquidLoader-Malware-Kampagne trifft Finanzunternehmen in Hongkong

Das Trellix Advanced Research Center hat eine neue Welle hochentwickelter SquidLoader-Malware aufgedeckt, die aktiv Finanzdienstleister in Hongkong angreift. Diese Entdeckung, die in der technischen Analyse von Trellix detailliert beschrieben und Hackread.com zur Verfügung gestellt wurde, verdeutlicht eine erhebliche Bedrohung, da die Malware zum Zeitpunkt der Analyse auf VirusTotal nahezu keine Erkennungsrate erreichte. Hinweise deuten zudem auf eine umfassendere Kampagne hin: Ähnliche Samples wurden bei Unternehmen in Singapur und Australien beobachtet.

Der Angriff beginnt mit Spear-Phishing -E-Mails in Mandarin, die gezielt darauf ausgelegt sind, Finanzinstitute zu imitieren. Diese E-Mails enthalten ein passwortgeschütztes RAR-Archiv mit einer schädlichen ausführbaren Datei. Der E-Mail-Text selbst ist entscheidend für die Täuschung, da er das Passwort für den Anhang enthält. Die Betreffzeile gibt oft vor, ein „Registrierungsformular für Bond Connect-Investoren, die Devisengeschäfte über ausländische Banken abwickeln“ zu sein.

Die E-Mail gibt vor, von einem Finanzvertreter zu stammen. Der Empfänger wird aufgefordert, die beigefügte „gescannte Kopie des Bond Connect-Anmeldeformulars für das Devisengeschäft“ zu prüfen und zu bestätigen. Diese Datei ist geschickt getarnt und imitiert nicht nur das Symbol eines Microsoft-Word -Dokuments, sondern übernimmt auch fälschlicherweise die Dateieigenschaften einer legitimen AMDRSServ.exe , um eine erste Überprüfung zu umgehen.

Bei der Ausführung löst SquidLoader eine komplexe fünfstufige Infektion aus. Zunächst entpackt der Schädling seine Kernnutzlast und nimmt dann Kontakt mit einem Command-and-Control-Server ( C2 ) auf. Dabei verwendet er einen URL-Pfad, der legitime Kubernetes-Dienste imitiert (z. B. /api/v1/namespaces/kube-system/services ), um sich in den normalen Netzwerkverkehr einzufügen.

Diese erste C2-Kommunikation übermittelt wichtige Hostinformationen wie IP-Adresse, Benutzername, Computername und Windows-Version an die Betreiber. Anschließend lädt die Malware einen Cobalt Strike Beacon herunter und führt ihn aus. Dieser stellt dann eine Verbindung zu einem sekundären C2-Server unter einer anderen Adresse (z. B. 182.92.239.24 ) her und gewährt Angreifern so dauerhaften Fernzugriff.

Ein Hauptgrund für die Gefährlichkeit von SquidLoader liegt in den zahlreichen Anti-Analyse-, Anti-Sandbox- und Anti-Debugging-Techniken. Dazu gehört die Überprüfung auf spezifische Analysetools wie IDA Pro ( ida.exe ) oder Windbg ( windbg.exe ) sowie gängige Sandbox -Benutzernamen.

Insbesondere nutzt die Malware einen ausgeklügelten Threading-Trick mit langen Ruhezeiten und asynchronen Prozeduraufrufen (APCs), um emulierte Umgebungen zu erkennen und zu umgehen. Sobald ein Analyseversuch erkannt wird, beendet sich die Malware selbst. Nach der Überprüfung zeigt sie eine irreführende Popup-Meldung in Mandarin an: „Die Datei ist beschädigt und kann nicht geöffnet werden.“ Diese erfordert eine Benutzerinteraktion, die automatisierte Sandboxen verhindern kann.

„Seine komplizierten Anti-Analyse-, Anti-Sandbox- und Anti-Debugging-Techniken stellen in Verbindung mit seinen niedrigen Erkennungsraten eine erhebliche Bedrohung für die angegriffenen Organisationen dar“, betonten die Forscher von Trellix in ihrem Bericht .

Die beobachteten Angriffe in mehreren Ländern unterstreichen den globalen Charakter dieser sich entwickelnden Bedrohung und veranlassen Finanzinstitute weltweit, insbesondere in Hongkong, Singapur und Australien, dazu, ihre Sicherheit gegen derart schwer zu manipulierende Angreifer zu erhöhen.