Neue DinDoor-Hintertür nutzt Deno Runtime und MSI-Installationsprogramme, um Erkennung zu umgehen

Ein neu entdeckter Backdoor namens DinDoor nutzt die legitime Deno JavaScript Runtime und MSI-Installationsdateien, um sich leise an Sicherheitssystemen vorbeizuschleichen und gezielte Systeme zu kompromittieren.

Die Mal Ein neu entdeckter Backdoor namens DinDoor nutzt die legitime Deno JavaScript Runtime und MSI-Installationsdateien, um sich leise an Sicherheitssystemen vorbeizuschleichen und gezielte Systeme zu kompromittieren.

Die Malware, die als Variante des Tsundere Botnet verfolgt wird, stützt sich auf vertrauenswürdige, signierte Laufzeitumgebungen anstatt standardmäßig kompilierte Implantate bereitzustellen. Dies macht die Erkennung in Netzwerken, in denen Tools wie Deno bereits auf der Whitelist stehen oder nicht aktiv überwacht werden, erheblich schwieriger.

DinDoor wird den Opfern über Phishing-E-Mails oder bösartige Drive-by-Downloads getarnt als MSI-Dateien zugestellt. Sobald ein Opfer eine öffnet, lädt der Installer die Deno Runtime vom offiziellen Endpunkt dl.deno[.]land herunter, ohne dass Administratorrechte erforderlich sind.

Die Malware führt dann verschleiertes JavaScript aus, um die Maschine des Opfers zu fingerprinten, deren Command-and-Control (C2)-Infrastruktur zu erreichen und zusätzliche Payloads abzurufen.

Forscher von Hunt.io identifizierten die Malware bei der Analyse von zwei in öffentliche Repositories hochgeladenen Proben und enthüllten bemerkenswerte Verhaltensunterschiede zwischen den Varianten, obwohl sie dasselbe Ausführungsmodell teilen.