Das ukrainische Computer Emergency Response Team (**CERT-UA**) hat eine neue Malware-Familie namens 'AgingFly' identifiziert, die aktiv in Angriffen auf lokale Regierungen und Krankenhäuser in der Ukraine eingesetzt wird. Das Hauptziel der Malware ist der Diebstahl von Authentifizierungsdaten aus Chromium-basierten Browsern und dem WhatsApp-Messenger. Diese Angriffe, die letzten Monat beobachtet wurden, zielen laut forensischen Beweisen potenziell auf Vertreter der Streitkräfte ab. CERT-UA ordnet diese Angriffe einem Cyberbedrohungscluster zu, der als UAC-0247 verfolgt wird. ### Angriffsverlauf Der Angriffsverlauf beginnt mit einer Phishing-E-Mail, die als Angebot für humanitäre Hilfe getarnt ist. Opfer werden dazu verleitet, auf einen eingebetteten Link zu klicken. Dieser Link leitet entweder zu einer legitimen Website weiter, die über eine Cross-Site-Scripting (XSS)-Schwachstelle kompromittiert wurde, oder zu einer gefälschten Website, die mit einem KI-Tool erstellt wurde. Das Ziel erhält dann ein Archiv, das eine Verknüpfungsdatei (LNK) enthält, die einen integrierten HTA-Handler startet. Dieser Handler stellt eine Verbindung zu einer Remote-Ressource her, um eine HTA-Datei abzurufen und auszuführen. Die HTA-Datei zeigt ein Ablenkungsformular an, um den Benutzer abzulenken, während eine geplante Aufgabe erstellt wird. Diese Aufgabe lädt eine EXE-Payload herunter und führt sie aus, die Shellcode in einen legitimen Prozess injiziert. Als Nächstes setzen die Angreifer einen zweistufigen Loader ein, wobei die zweite Stufe ein benutzerdefiniertes ausführbares Format verwendet. Die endgültige Payload ist komprimiert und verschlüsselt. "Ein typischer TCP-Reverse-Shell oder ein Analogon, das als RAVENSHELL klassifiziert wird, kann als Stager verwendet werden, was die Einrichtung einer TCP-Verbindung mit dem Management-Server ermöglicht", heißt es in dem Bericht von CERT-UA. Eine TCP-Verbindung, die mit dem XOR-Chiffre verschlüsselt ist, wird mit dem Command and Control (C2)-Server hergestellt, was die Befehlsausführung über die Windows-Eingabeaufforderung ermöglicht. Anschließend wird die AgingFly-Malware geliefert und bereitgestellt. Ein **PowerShell**-Skript (SILENTLOOP) wird verwendet, um Befehle auszuführen, Konfigurationen zu aktualisieren und die C2-Serveradresse von einem **Telegram**-Kanal oder über Fallback-Mechanismen abzurufen.  Nach der Untersuchung mehrerer Vorfälle fanden Forscher heraus, dass die Angreifer Browserdaten mit **ChromElevator** stehlen, einem Open-Source-Sicherheitstool. ChromElevator entschlüsselt und extrahiert sensible Informationen wie Cookies und gespeicherte Passwörter aus Chromium-basierten Browsern (z. B. **Google Chrome**, **Microsoft Edge**, **Brave**), ohne Administratorrechte zu benötigen. Der Bedrohungsakteur versucht auch, sensible Daten aus der WhatsApp-Anwendung für Windows zu extrahieren, indem er Datenbanken mit dem Open-Source-Forensik-Tool ZAPiDESK entschlüsselt. Forscher haben Aufklärungsaktivitäten und laterale Bewegungen innerhalb des Netzwerks beobachtet, wobei öffentlich verfügbare Dienstprogramme wie der RustScan-Portscanner sowie die Tunneling-Tools Ligolo-ng und Chisel verwendet wurden. ### Einzigartige Merkmale von AgingFly AgingFly, geschrieben in **C#**, gewährt den Betreibern Fernsteuerung, Befehlsausführung, Datenexfiltration, Screenshot-Erfassung, Keylogging und die Ausführung beliebigen Codes. Es kommuniziert über WebSockets mit seinem C2-Server und verschlüsselt den Datenverkehr mit AES-CBC und einem statischen Schlüssel. Bemerkenswerterweise enthält AgingFly keine vordefinierten Befehlshandler. Stattdessen kompiliert es diese auf dem Host aus Quellcode, der vom C2-Server empfangen wird. "Ein Unterscheidungsmerkmal von AGINGFLY im Vergleich zu ähnlicher Malware ist das Fehlen integrierter Befehlshandler in seinem Code. Stattdessen werden sie vom C2-Server als Quellcode abgerufen und zur Laufzeit dynamisch kompiliert", erklärt CERT-UA. Dieser Ansatz bietet eine kleinere anfängliche Payload, bedarfsgesteuerte Funktionsänderungen und potenzielle Umgehung statischer Erkennung. Er erhöht jedoch die Komplexität, ist auf die C2-Konnektivität angewiesen und erweitert den Laufzeit-Footprint, was das Erkennungsrisiko potenziell erhöht. CERT-UA rät Benutzern, die Ausführung von LNK-, HTA- und JS-Dateien zu blockieren, um die in dieser Kampagne verwendete Angriffsverlauf zu unterbrechen.