Deep#Door Stealer erbeutet Browserpasswörter, Cloud-Tokens, SSH-Schlüssel und WLAN-Zugangsdaten

Anstatt auf externe Payload-Downloads zu vertrauen, verwendet DEEP#DOOR einen eigenständigen Ansatz, indem es den gesamten Python-Backdoor direkt in die Batch-Datei einbettet. Dieses Design reduziert die Wahrscheinlichkeit, dass netzwerkbasierte Erkennungswerkzeuge die Bedrohung fangen, bevor sie sich festgesetzt hat.

Die Infektion beginnt in dem Moment, in dem ein Benutzer eine scheinbar routinemäßige Batch-Datei auf einer Windows-Maschine öffnet.

Securonix Threat Research Analysten identifizierten und analysierten dieses Python-basierte Backdoor-Framework, das DEEP#DOOR genannt wird, welches als verschleierter Batch-Loader fungiert, um ein Implant zur Persistenz und zum Stehlen.

Die Forscher stellten fest, dass die

Die Forscher stellten fest, dass die Infektionskette mit der Ausführung eines Batch-Skripts beginnt, das dynamisch einen eingebetteten Python Remote Access Tool Payload (c.py) extrahiert und ausführt, und die Persistenz über Startordner-Skripte, Registry Run-Schlüssel, geplante Aufgaben und optionale WMI-Abonnements herstellt.

Sobald es aktiv ist, stellt die Malware eine Kommunikation mit der über einen öffentlich zugänglichen TCP-Tunneldienst her und ermöglicht es entfernten Bedienern, über dedizierte Ports zu interagieren.

Die Backdoor ermöglicht dann die vollständige Fernausführung Überwachungsfunktionen, einschließlich Keylogging, Webcam-Fotografierung, Mikrofonaufzeichnung, Bildschirmaufnahme und Erfassung.

Bevor es die Python-Hintertür einsetzt, umgeht

Bevor es die Python-Hintertür einsetzt, umgeht DEEP#DOOR auch Laufzeit-Verteidigungen, indem es SmartScreen deaktiviert, AMSI und ETW patcht, Ereignisprotokolle löscht und Timestamp Stomping verwendet, um seine Aktivitäten zu verbergen.

Die Malware integriert außerdem Sandbox-Erkennung, Unhooking, Windows Defender-Manipulation und das Entfernen.

Prozessablauf (Quelle – Securonix) Das resultierende Implantat funktioniert als voll ausgestattetes Remote Access Tool, das langfristige Persistenz, laterale Bewegung und Post-Exploitation in kompromittierten Umgebungen ermöglicht.

Moegliche Anwendungen

Diese Kombination aus Umgehung und Fernsteuerung macht DEEP#DOOR außerordentlich schwer zu erkennen, sobald es sich in einem Netzwerk etabliert hat. Wie DEEP#DOOR Ihre Anmeldeinformationen stiehlt Die schädlichste Fähigkeit #DOOR ist seine breitbandige Engine zur Ernte.

Es zielt systematisch auf im Browser gespeicherte Passwörter, Cloud-Authentifizierungstoken, sensible Umgebungsinformationen und SSH-Zugriffsschlüssel ab, was laterale Bewegung und Kontoübernahme über die Zielinfrastruktur ermöglicht.

Der Stealer ruft die Funktionen get_chrome_cred() und get_edge_cred() auf, um auf die SQLite-Datenbanken der Browser zuzugreifen und gespeicherte Anmeldedaten zu extrahieren. Eine dedizierte Funktion get_ssh_key() entdeckt und exfiltriert private SSH-Schlüssel, die für den Fernzugriff auf Server verwendet werden.

Die Malware führt außerdem get_cloud_cred() aus,

Die Malware führt außerdem get_cloud_cred() aus, um Konfigurationsdateien und Umgebungsvariablen nach AWS-, Azure- und GCP-Anmeldeinformationen zu durchsuchen. Zusätzlich scannt get_wifi_cred() den Windows Credential Manager und zugehörige Registry-Standorte, um gespeicherte WLAN-Passwörter zu ziehen.

Startup folder (Source – Securonix) Diese mehrvektorale Sammlung bedeutet, dass eine einzige Infektion die gesamte Zugriffsfläche eines gesamten Unternehmens mit einem einzigen Zug entblößen kann.

Sobald diese Anmeldeinformationen in Hände des Angreifers gelangen, wird der Wiedereintritt in das Netzwerk trivial, selbst nachdem die Malware auf dem ursprünglichen Host erkannt und entfernt wurde. Organisationen und Sicherheitsteams sollten die folgenden Schritte anwenden, um die Exposition durch DEEP#DOOR zu reduzieren.

Öffnen Sie keine unbekannten Batch-Dateien

Öffnen Sie keine unbekannten Batch-Dateien oder Skript-Anhänge, insbesondere solche, die per E-Mail oder über geteilte Links empfangen wurden. Überwachen Sie auf ungewöhnliche PowerShell- und cmd.exe-Aktivitäten in Kombination mit Base64-kodierten Befehlen.

Überprüfen Sie regelmäßig die Registry Run-Schlüssel, Startordner und geplanten Aufgaben auf unbefugte Einträge. Aktivieren Sie den Schutz vor Manipulation , um zu verhindern, dass die Malware integrierte Sicherheitsfunktionen deaktiviert.

Rotieren Sie Cloud-Authentifizierungstoken und SSH-Schlüssel regelmäßig nach jedem vermuteten Kompromittierung. Implementieren Sie Netzwerküberwachung, um verdächtigen ausgehenden Tunnelverkehr über nicht standardmäßige Ports zu erkennen.

Untersuchen Sie jeden Prozess, der unerwartete

Untersuchen Sie jeden Prozess, der unerwartete Aufrufe , Mikrofon oder Bildschirmaufnahmen tätigt. Isolieren Sie betroffene Systeme umgehend und führen Sie eine forensische Analyse durch, um Pfade seitlicher Bewegung zu identifizieren.

Da DEEP#DOOR auf Python-basierte Ausführung und verschleierte Skripte und nicht auf kompilierte Binärdateien angewiesen ist, bieten herkömmliche Antiviren-Tools möglicherweise nur begrenzten Schutz.

Verhaltensanalytik und Anomalieerkennung sollten die primäre Verteidigungsschicht für Organisationen darstellen, die sich vor sich entwickelnden Bedrohungen dieser Art schützen möchten. Sie uns auf

Der Beitrag Deep#Door Stealer Harvests Browser Passwords, Cloud Tokens, SSH Keys, and Wi-Fi Credentials erschien zuerst bei Cyber Security News.