Im Zuge wachsender Cyberbedrohungen haben Sicherheitsforscher eine besorgniserregende Methode entdeckt, bei der schädliche .NET-Dateien Remote Access Trojans (RATs) unauffällig in Bitmap-Bildern verbergen. Diese ausgeklügelte Verschleierungstechnik wurde von der Einheit Unit 42 von Palo Alto Networks im Rahmen einer aktiven Malspam-Kampagne aufgedeckt. Die dahinterstehenden Angreifer nutzen .NET-Assemblies, um Malware unter dem Deckmantel scheinbar harmloser Anwendungen zu verbreiten.
Diese neue Art der Cyberattacke verdeutlicht, wie zunehmend innovativ und komplex Malware-Autoren vorgehen, um traditionelle Sicherheitsmechanismen zu umgehen und Zugang zu sensiblen Unternehmensnetzwerken zu erhalten. Die untersuchte Kampagne richtete sich vor allem gegen die Finanzindustrie in der Türkei sowie gegen den Logistiksektor in Asien. Dabei wurden kompromittierte .NET-Dateien verwendet, die sich als legitime Geschäftsdokumente ausgaben, etwa Anfragen für Angebote oder Bestellungen. Diese Dateien enthalten Bitmap-Ressourcen, innerhalb derer die Schadsoftware versteckt ist.
Ein Beispiel dafür ist eine manipulierte Windows Form OCR-Anwendung, in der der Angreifer per Bitmap-Ressource verschiedene schädliche Komponenten eingebettet hatte. Die Schadsoftware nutzt mehrere Verarbeitungsstufen, um die tatsächlich bösartigen Payloads einzuschleusen und auszuführen. Der erste Schritt beinhaltet eine ausführbare Datei mit dem Namen xgDV.exe, die offenbar nach einem Unterwasser-Thema benannte Funktionen benutzt – Begriffe wie AbyssalScan oder MarineExploration stehen stellvertretend für die Programmabläufe. Diese Täuschung dürfte dazu dienen, Analysten in die Irre zu führen und den komplexen Aufbaustil zu verschleiern.
Im Kern der Technik steht der Einsatz von Bitmap-Ressourcen innerhalb der .NET-Assembly, die nicht etwa als äußere Dateien geladen werden, sondern tief im Innern der Anwendung verborgen sind. Aus einer dieser Bitmap-Ressourcen mit dem Namen „sv“ wird eine DLL namens TL.dll extrahiert. Diese wiederum dient als Loader, um aus einer weiteren Bitmap namens „rbzR“ eine zweite DLL mit der Bezeichnung Montero.
dll zu entpacken. Montero.dll verfügt über ein .NET-Byte-Array namens uK5APqTdSG, das durch XOR-Entschlüsselung und Subtraktionsoperationen dekodiert wird. Am Ende dieses Entfaltungsprozesses steht der schädliche Payload Remington.
exe, eine Variante des bekannten Agent Tesla RAT. Agent Tesla zählt zu den gefürchtetsten Remote Access Trojans, die es Angreifern ermöglichen, das kompromittierte System fernzusteuern, Tastatureingaben zu überwachen und Daten auszuspähen. Was diese Angriffsform besonders gefährlich macht, ist die Kombination aus Steganographie-Techniken und der Integration in die .NET-Infrastruktur. Steganographie bezeichnet das Verstecken von Informationen in sonst harmlosen Dateien.
In diesem Fall sind die geheimen Codes in den BMP-Grafikdaten verborgen und nicht, wie meist üblich, in extern hochgeladenen Bildern oder Dateien. Durch die Einbettung direkt in die Assemblies wird der Abwehr durch herkömmliche Virenscanner und Sicherheitslösungen ein Riegel vorgeschoben, da die schädlichen Inhalte erst zur Laufzeit dekodiert und ausgeführt werden. Die Entdeckung dieses Angriffsszenarios unterstreicht die Notwendigkeit, Verteidigungsmechanismen auf neue Arten anzupassen. Die Forscher von Unit 42 schlagen vor, um derart ausgeklügelte Bedrohungen zu erkennen und zu stoppen, spezielle Debugging-Methoden einzusetzen. Dabei kann das .
NET Framework-Interface ICorDebugManagedCallback genutzt werden, um während der Programmausführung kritische API-Funktionen zu überwachen. Insbesondere sind drei .NET-Funktionen von Interesse: die ResourceManager-Funktion GetObject, die AppDomain-Methode Load zur Assembly-Einbindung aus rohen Byte-Arrays und die Assembly-Funktion Load. Durch das „Hooking“ – Einhaken dieser Funktionen und das temporäre Pausieren des Programms – können Sicherheitswerkzeuge den Zugriff auf eingebettete Ressourcen mitschneiden, entschlüsseln und so versteckte Schadsoftware frühzeitig aufdecken. Die Kriminellen gehen bei ihren Techniken sogar noch einen Schritt weiter, indem sie den Code mehrfach verschleiern und die Payloads stufenweise laden.
Ein klassisches statisches Scannen der Datei genügt deshalb kaum, um die Bedrohung zu erkennen. Die Kombination aus Verschlüsselung mittels XOR, der Aufteilung in verschiedene DLLs sowie dem Verstecken in Bitmap-Ressourcen erschwert die forensische Analyse und Erkennung zusätzlich. Organisatorisch zeigt die Attacke, wie gezielt Unternehmen bestimmter Branchen ins Visier genommen werden. Finanzdienstleister und Logistikkonzerne sind aufgrund ihres Zugangs zu lukrativen Daten und kritischen Infrastrukturen besonders attraktive Ziele für Angreifer, die sich auf Geheimhaltung und langfristige Kontrolle ihrer Opfer fokussieren. Neben Agent Tesla sind auch weitere RATs wie Remcos sowie Infostealer wie XLoader Teil der entdeckten Malwarefamilien.
Diese Vielfalt dient den Angreifern dazu, flexibel auf Sicherheitsmaßnahmen zu reagieren und über verschiedene Hintertüren in die Systeme einzudringen. Remote Access Trojans eröffnen eine breite Angriffsfläche, angefangen vom Ausspähen sensibler Informationen über die Manipulation von Systemen bis hin zum Aufbau eines großflächigen Botnetzes. Der gesamte Angriffsvektor ist ein Beispiel dafür, wie moderne Malware zunehmend komplexe Softwaretechniken wie .NET-Programmstruktur, Ressourcenmanagement und Steganographie miteinander kombiniert. Sicherheitsverantwortliche müssen deshalb über die grundlegende Virenabwehr hinausgehen und spezielle Techniken entwickeln, die auf der Analyse des Verhaltens von .
NET-Assemblies basieren. Zudem lässt sich aus dem Szenario ableiten, dass organisatorische Schulungen und Awareness-Kampagnen in Unternehmen essenziell sind. Die anfängliche Infektion erfolgt meistens über E-Mails, die bei den Empfängern als geschäftsrelevante Dokumente getarnt sind. Durch verstärkte Kontrolle und Sensibilisierung können solche Phishing- und Malspam-Angriffe im Vorfeld erkannt und unschädlich gemacht werden. Auf technischer Ebene empfiehlt es sich, automatisierte Tools einzusetzen, die verdächtige Ressourceneinbettungen in .
NET-Assemblies erkennen können. Ebenso lohnt die Analyse verdächtiger Programme in Sandbox-Umgebungen, um die Entpackungsschritte der Schadsoftware nachzuvollziehen und entsprechende Signaturen abzuleiten. Auch die Weiterentwicklung von Malware-Detektionssystemen, die mittels Künstlicher Intelligenz und Machine Learning anomale Lade- und Entschlüsselungsprozesse erkennen, kann helfen, diesen Angreifen einen Schritt voraus zu sein. Die dynamische Analyse von Byte-Arrays, die sich zur Laufzeit in Assemblies laden, könnte frühzeitig Alarm schlagen und die Ausführung verhindern. Insgesamt zeigt der Fall von versteckten Remote Access Trojans in Bitmap-Bildern von .
NET-Anwendungen eindringlich, wie Cyberkriminelle laufend neue Wege suchen, um Abwehrmaßnahmen zu überwinden und ihre Angriffe zu verschleiern. Die Kombination aus innovativer Verschlüsselung, ressourcenbasierter Verstecktechnik und gezielter Branchenfokussierung stellt für viele Unternehmen eine erhebliche Bedrohung dar. Die aktuelle Forschung und Analyse durch Unit 42 dienen als Weckruf, verstärkt auf moderne Erkennungsmethoden und ganzheitliche Sicherheitskonzepte zu setzen. Nur durch die Verbindung von proaktiver Technik, bewährten Analysen und menschlicher Wachsamkeit können Organisationen sich gegen diese und zukünftige Bedrohungen effektiv schützen und ihre digitale Infrastruktur sichern.
