Neue EtherRAT-Variante nutzt trojanisierte Tftpd64-Installer, um Web2-Malware und Web3-Diebstahl zu verknüpfen

Tools zum Stehlen , Botnetze und Loader-Frameworks kreuzten selten Wege mit gefälschten Handelsportalen oder Wallet-Entleerungsskripten. In den letzten zwei Jahren hat sich diese Lücke jedoch erheblich geschlossen.

Angreifer nutzen nun Infrastrukturen, die für den Diebstahl , um Kryptowährungs-Phishing-Seiten zu hosten, während Malware-Gruppen Entleerungswerkzeuge zu ihren Operationen hinzufügen, um eine zusätzliche Einnahmequelle zu erschließen.

Das Ergebnis ist ein gemischtes Angriffsmodell, bei dem eine einzige Kampagne gleichzeitig Anmeldeinformationen stehlen, Fernzugriff aufrechterhalten und digitale Wallets entleeren kann. Analysten ein klares Beispiel für diesen Wandel.

Ursprünglich als ein JavaScript-basiertes Node.js-Implant dokumentiert,

Ursprünglich als ein JavaScript-basiertes Node.js-Implant dokumentiert, das Linux-Server über bekannte Schwachstellen auf der Serverseite angriff, hat sich die Malware seither zu einer Windows-fokussierten Bedrohung entwickelt, die über bösartige MSI-Installationsprogramme geliefert wird.

In diesem neuesten Fall war EtherRAT in eine trojanisierte Kopie von Tftpd64 eingebettet, einem weit verbreiteten TFTP-Server und Verwaltungstool für Windows.

Die kompromittierte Version wurde auf einem gefälschten GitHub-Repository gehostet, das das offizielle Projekt nachahmte und Downloads mit der Bezeichnung „Tftpd64 v4.74“ anbot, um Benutzer dazu zu verleiten, ein Update zu installieren, das wie ein legitimes Update aussah.

Moegliche Anwendungen

Der Angriff ist besonders effektiv, weil er IT-Administratoren und Netzwerkfachleuten ins Visier nimmt, die regelmäßig auf Tftpd64 für die routinemäßige Systemverwaltung angewiesen sind.

Das Herunterladen der Installationsdatei aus dem bösartigen Repository verschafft Angreifern einen unauffälligen Zugangspunkt zu Systemen, bei denen die Aktivität vertrauenswürdiger Tools die Sicherheitsüberwachung senken kann.

Das Archiv enthielt auch anomale Dateien mit Endungen wie .dat, .cmd, .ini und .tmp, die in benutzerzugängliche Pfade unter dem lokalen Anwendungsdatenordner platziert waren, um sich mit normalem Systeminhalt zu vermischen.

Besonders bemerkenswert an dieser Kampagne ist,

Besonders bemerkenswert an dieser Kampagne ist, wie EtherRAT die Lücke zwischen konventioneller Systemkompromittierung und blockchain-basierter Finanzdiebstahl schließt. Im bösartigen Paket sind mehrere Ethereum RPC-Endpunkte , Tenderly, LlamaRPC und DRPC sowie mehrere Ethereum-Wallet-Adressen eingebettet.

Diese Komponenten ermöglichen es der Malware, On-Chain-Interaktionen durchzuführen, Kommando-und-Kontroll-Beacons über Blockchain-Daten aufzulösen oder die Grundlage für durch den Angreifer gesteuerte Vermögensdiebstahloperationen zu schaffen.

Wie EtherRAT Persistenz herstellt und der Erkennung entgeht Sobald ein Benutzer den trojanisierten Installer ausführt, erstellt EtherRAT ein verstecktes Verzeichnis im lokalen Anwendungsdatenordner und platziert mehrere gestaffelte Komponenten, darunter eine eigenständige Node.js-Laufzeitumgebung.

Crypto-Trading-Werbeoberfläche, gestaltet mit mobilen Dashboards (Quelle

Crypto-Trading-Werbeoberfläche, gestaltet mit mobilen Dashboards (Quelle – LevelBlue) Das Bündeln seiner eigenen Node.js-Umgebung ermöglicht es der Malware, ohne auf einen systeminstallierten Interpreter angewiesen zu sein, ausgeführt zu werden, was es für Sicherheitstools schwieriger macht, ungewöhnliche Laufzeitaktivitäten zu erkennen.

Der Installer registriert dann einen Persistenzeintrag über einen Windows-Run-Registry-Schlüssel, der conhost.exe zwingt, bei jeder Anmeldung node.exe im Headless-Modus aufzurufen und dabei leise eine verschleierte .dat-Datei als tatsächliche Malware-Nutzlast lädt.

Compliance-Dashboard mit Anzeige ägen, Risikokategorien und einem Untersuchungspanel (Quelle – LevelBlue) Nach der Herstellung der Persistenz beginnt EtherRAT mit einer leisen System-Reconnaissance-Sequenz unter Verwendung , die mit unterdrückten Fenstern und ohne Profil-Laden ausgeführt werden, sodass der Benutzer nichts auf dem Bildschirm sieht.

Die Malware sammelt Details wie die

Die Malware sammelt Details wie die System-Locale, den GPU-Namen, die im Windows Security Center registrierten Antivirenprodukte, die Mitgliedschaft in der Active Directory-Domäne und den MachineGuid-Wert des Hosts.

Sie lädt außerdem einen zusätzlichen Node.js-Runtime direkt vom offiziellen Node.js-Distributionsserver mithilfe Domains, einschließlich wpuadmin[.]shop, während sie ihre Payload-Komponenten mit AES-256-CBC unter Verwendung gebündelter Schlüssel und Initialisierungsvektoren verschlüsselt.

Organisationen sollten Software-Downloads nur über offizielle Entwickler-Websites überprüfen und auf jegliche GitHub-Repositories verzichten, die nicht als die ursprüngliche Quelle bestätigt sind.

Sicherheitsteams sollten die Windows Run-Registry-Schlüssel auf

Sicherheitsteams sollten die Windows Run-Registry-Schlüssel auf verdächtige Einträge bezüglich node.exe oder Headless-Ausführungs-Flags überwachen, und Endpoint-Schutz-Tools sollten so konfiguriert sein, dass sie ausgehenden Datenverkehr zu Ethereum RPC-Endpunkten.

Jedes System, das Node.js außerhalb eines Entwicklerkontextes im Hintergrund ausführt, sollte als potenzieller Kompromittierungsfall behandelt und unverzüglich untersucht werden. Sie uns auf

Der Beitrag New EtherRAT Variant Uses Trojanized Tftpd64 Installer to Bridge Web2 Malware and Web3 Theft erschien zuerst bei Cyber Security News.