Vorsicht geboten: Neuer Infostealer auf dem Untergrund-Markt

Cyberkriminelle arbeiten profitorientiert und handeln nach wirtschaftlichen Massstäben. Auch sie setzen auf bewährte Methoden mit guten Erfolgsaussichten. Daher verwundert es nicht, dass sich Infostealer in der Cybercrime-Szene grosser Beliebtheit erfreuen. Auch wenn Aussenstehende glauben, dass zu neuer Malware bereits alles gesagt und getan wurde, gibt es doch immer wieder neue Akteure, die das Feld betreten. Sicherheitsforscher haben kürzlich "Sharpil RAT.exe" entdeckt. Die nicht-verschleierte .NET-Anwendung mit einfacher Stealer-Funktionalität führte zu einer neuen Malware-Familie: "Sharp Stealer".

Blick hinter die Kulissen von Sharpil RAT  
"Sharpil RAT.exe" ist in C# geschrieben, läuft im Hintergrund und versucht sofort, eine Verbindung mit einem Telegram-Bot herzustellen. Der Bot kommuniziert mit einem Bedrohungsakteur in einem privaten Chat. Das Ziel sind Systeminformationen oder Browser wie Google Chrome, Yandex, Brave, Edge, Slimjet, Comodo und UR Browser. Ausserdem sammelt er den Standort des Opfers und Benutzerinformationen vom Minecraft-Spieleserver "Vime World".

Um sich mit dem Telegram-Bot zu verbinden, nutzt die Angreifergruppe "ParseLastMessage", die eine JSON-Zeichenkette analysiert und den Wert extrahiert, der mit dem letzten Vorkommen von "text" im JSON-Objekt verbunden ist, welches aus der Telegram-Bot-API kommt. Danach prüft der Bot, ob das empfangene Argument mit den Werten in der Anwendung übereinstimmt und startet auf dieser Grundlage Aktionen zum Datensammeln.

Obwohl die Entwickler "Sharpil RAT.exe" als Fernzugriffstrojaner bezeichnen, entsprechen seine Funktionen viel mehr denen eines Stealers. Der Hauptunterschied: Mit einem Fernzugriffstrojaner lassen sich nicht nur Daten ausleiten, sondern es ermöglicht auch die vollständige Kontrolle über ein entferntes System, um beliebigen Code auszuführen. Auf diese Weise beginnen auch Ransomware-Infektionen. Sobald ein System mit einem solchen "echten" Fernzugriffstrojaner kompromittiert wurde, wird der Zugang zu diesem System von spezialisierten Brokern entweder an den Meistbietenden oder als Teil eines grossen Pakets verkauft. SharpilRAT verhält sich jedoch anders.

Mehr Details zum Täter
Da die Datei weder verschlüsselt noch verschleiert war, erhält man anhand der Konfigurationsdaten und des Telegram-API-Tokens Informationen über den Bedrohungsakteur. Der im Beispiel bereitgestellte Telegram-Bot führt zu einem Anwender, der sich sowohl als Entwickler des Stealers als auch als Administrator des Telegram-Kanals "СТИЛЛЕР | SHARP PROJECT | ПРИВАТНЫЙ СОФТ" identifiziert (Übersetzung aus dem Russischen: "STEALER | SHARP PROJECT | PRIVATE SOFTWARE").

Der russischsprachige Cyberkriminelle bietet Sharp Stealer für 10 Dollar zur Miete und 30 Dollar zum Kauf an. Er gibt an, dass es sich um eine leichtgewichtige .NET-Anwendung handelt, für die kein Host erforderlich ist und Daten direkt an einen Chat mit einem Telegram-Bot überträgt. Dieser Telegram-Kanal wurde Anfang April 2024 eröffnet. Seitdem wurden zwei Nachrichten mit Updates gepostet.

Die Tätergruppe hat auch zum Beweis, dass ihr Schadprogramm nicht von gängigen Malwarescannern detektiert wird, Screenshots von Virustotal angehängt. Hierbei hatten die Täter jedoch potenziell nicht bedacht, dass sie mit einem Upload der Schaddatei auf Virustotal diese auch Malwareanalysten in aller Welt zugänglich machen. So konnten auch Sicherheitsexperten ein Exemplar der Datei herunterladen und analysieren.

Was kann Sharp Stealer?
Eine genaue Analyse zeigt, dass Sharpil RAT und Sharp Stealer den gleichen Code-Stil haben. Beide nutzen russische Sprache im Code für Konsolenmeldungen, zielen auf ähnliche Daten ab und verwenden einen Telegram-Bot für die Exfiltration. Der Sharp Stealer setzt das Ionic Framework, kryptografische Funktionen über die BCrypt-Bibliothek, die Umbenennung von Klassen und Feldern zur Verschleierung sowie Komponenten des Umbral Stealer (JSON-Datenhandler und Interaktion mit der Windows-Cryptography-API BCrypt) ein. Zusätzlich kommen Komponenten des Echelon Infostealer zum Einsatz, zum Beispiel die Klasse "SenderAPI". Die Verschleierung ist für einen Analysten allerdings kein unüberwindbares Hindernis.

Angriffsziel Computerspiele? 
Der Infostealer hat vielfältige Daten im Visier, wie System-Informationen, eingesetzter Browser, Outlook, Discord, Games-Cookies und Accountdaten sowie verschiedene Messenger oder VPN und Cryptowallets.
Die gestohlenen Informationen werden in separaten Dateien gespeichert, zusammen archiviert und an einen Telegram-Bot gesendet. Als Beweis für die Funktionalität der Malware hat der Bedrohungsakteur einen Screenshot des Telegram-Bots hinterlassen. Aus der Art der exfiltrierten Daten lässt sich schlussfolgern, dass eine breite Palette von Anwendungen, die Spieler nutzen, im Fokus stehen. Dies ist zwar nicht ungewöhnlich, kommt aber nicht sehr häufig vor, und ist daher erwähnenswert. Insbesondere, weil Discord eine weitverbreitete Plattform in der Gaming- und Streaming-Szene ist und Sharp Stealer auch auf verschiedene Gaming-Plattformen und Messenger abzielt. Und wer jetzt fragt, warum ausgerechnet Spieler im Visier sind, dann ist die Antwort einfach: Die Daten, wie beispielsweise Zahlungsinformationen oder vollständige ganze kompromittierte Konten, lassen sich auf Untergrundmärkten mit einem hohen Gewinn verkaufen.

Fazit
Noch ist das Sharp-Projekt im Untergrund wenig verbreitet. Der Telegram-Kanal hat nur wenige Abonnenten und in den gängigen Darknet-Foren war noch keine Aktivität zu dieser Malware zu erkennen. Hinzu kommt, dass die Malware ihre Anwesenheit im System nicht vor Virenschutzprogrammen verbirgt und ebenfalls nicht das Vorhandensein von Sandboxen überprüft. Merkmale, die bei vielen anderen bekannten Infostealern vorhanden sind. Daher liegt die Vermutung nahe, dass das Projekt noch nicht ganz ausgereift ist und von Cyberkriminellen entwickelt wurde, die gerade am Anfang stehen. Allerdings steht zu befürchten, dass dieser Stealer in Zukunft seine Opfer finden wird.

Hier mehr erfahren