Bedrohungsoperatoren hinter der CatB-Ransomware verwenden eine Technik namens Dynamic-Link-Library (DLL) Search Order Hijacking, um der Erkennung und Beseitigung von Nutzdaten zu entgehen.
CatB, auch bekannt als CatB99 und Baxtoy, tauchte Ende letzten Jahres auf und gilt als direkte Weiterentwicklung oder Umbenennung einer anderen Ransomware-Variante namens Pandora. Die Verwendung von Pandora wurde der Hackergruppe Bronze Starlight zugeschrieben, die auch als DEV-0401 oder Emperor Dragonfly bekannt ist. Diese chinesische Bedrohungsgruppe verwendet kurzlebige Ransomware-Familien, um ihre wahren Absichten zu verbergen.
CatB verlässt sich auf diese Art der Entführung durch einen legitimen Dienst namens Microsoft Distributed Transaction Coordinator (MSDTC), um die Ransomware-Nutzdaten zu extrahieren und zu starten. „Nach der Ausführung verlassen sich die CatB-Payloads auf das Hijacking von DLL-Suchaufträgen, um die schädlichen Payloads zu löschen und zu laden“, sagte Jim Walter, ein Forscher bei SentinelOne, in einem letzte Woche veröffentlichten Bericht. „Der Dropper [versions.dll] hat die Payload [oci.dll] im System32-Verzeichnis abgelegt.“
Der Dropper ist auch dafür verantwortlich, Anti-Analyse-Prüfungen durchzuführen, um festzustellen, ob die Malware in einer virtuellen Umgebung ausgeführt wird, und schließlich den MSDTC-Dienst auszunutzen, um die bösartige oci.dll zu injizieren, die die Ransomware in die ausführbare Datei msdtc.exe beim Neustart des System.
„Die geänderten Einstellungen [MSDTC] sind der Name des Kontos, unter dem der Dienst ausgeführt werden soll, der von Netzwerkdienst auf Lokales System geändert wurde, und die Dienststartoption, die bei einem Neustart von Demand Start auf Auto Start auf Persistence geändert wurde auftritt “, erklärte Natalie Zargarov, Forscherin bei Minerva Labs, in einer früheren Analyse der The HackerNews.
Ein auffälliger Aspekt von Ransomware ist das Fehlen einer Lösegeldforderung. Stattdessen wird jede verschlüsselte Datei mit einer Nachricht aktualisiert, in der die Opfer aufgefordert werden, eine Bitcoin-Zahlung zu leisten. Darüber hinaus sammelt die Malware vertrauliche Informationen von Webbrowsern wie Google Chrome, Microsoft Edge – und Internet Explorer – und Mozilla Firefox, einschließlich Passwörtern, Lesezeichen und Verlauf. Ein weiteres Merkmal ist die Fähigkeit der Malware, vertrauliche Daten wie Passwörter, Lesezeichen und den Browserverlauf zu sammeln.
„CatB reiht sich in eine lange Reihe von Ransomware-Familien ein, die halbneue Techniken und ungewöhnliches Verhalten anwenden, wie z. B. das Anhängen von Notizen an Dateikopfzeilen“, sagte Walter. „Diese Verhaltensweisen scheinen zum Zweck der Umgehung der Erkennung und eines gewissen Maßes an Anti-Analyse-Tricks implementiert zu sein.“
Dies ist nicht das erste Mal, dass der MSDTC-Dienst für böswillige Zwecke verwendet wird. Im Mai 2021 veröffentlichte Trustwave eine neue Malware namens Pingback, die dieselbe Technik verwendete, um Persistenz zu erreichen und Sicherheitslösungen zu umgehen.
Quelle: CisoAdvisor, TheHackerNews
