Auf den Punkt: ScarCruft nutzt gefälschte Microsoft-Sicherheitswarnungen zur Verbreitung von NarwhalRAT, einer in Python geschriebenen Schadsoftware, die im Arbeitsspeicher agiert und über kompromittierte Websites sowie pCloud-APIs mit Steuerungsservern kommuniziert.
Die nordkoreanische Hackergruppe ScarCruft (APT37) nutzt Spear-Phishing-Kampagnen mit gefälschten Microsoft-Sicherheitsalarmen, um eine neue Schadsoftware namens NarwhalRAT zu verbreiten, die vollständig im Arbeitsspeicher agiert und Keystroke-Logging, Screenshot- und Audioaufzeichnungen ermöglicht.
ScarCruft versandte gefälschte E-Mails, die sich als Microsoft-Kontosicherheitswarnungen ausgeben. Diese Mails berichten von abnormalen Aktivitäten bei der Generierung von Einmal-Passwörtern (OTP) und fordern das Ziel auf, sein Passwort zu ändern. Der Anhang ist nicht wie vorgegeben ein HWP-Dokument, sondern ein ZIP-Archiv mit einer bösartigen LNK-Datei. Damit wird künstliche Dringlichkeit erzeugt und das Vertrauen in vermeintliche Microsoft-Kommunikation missbraucht.
Nach Ausführung der LNK-Datei startet eine mehrstufige Infektionskette: Batch-Skripte laden die Python-Ausführungsdatei von der offiziellen Website sowie eine Windows-Sicherheitskatalog-Datei (CAT) herunter. Der Schädling richtet eine geplante Aufgabe namens „MicrosoftUserInterfacePicturesUpdateTackMachine” ein, die die CAT-Datei ausführt. Diese lädt die eigentliche Schadsoftware direkt in den Arbeitsspeicher und führt sie dort aus – es entstehen keine verdächtigen Dateien auf der Festplatte, was die Detektion erschwert. Der Name NarwhalRAT leitet sich vom Ablageverzeichnis „naverwhale” im AppData-Verzeichnis ab, ein Name, der den südkoreanischen Browser Naver Whale imitiert.
NarwhalRAT basiert auf Python und verfügt über umfangreiche Spionagefunktionen: Keystroke-Logging, hochauflösende Screenshot-Erstellung, Audioaufzeichnung über das Mikrofon und das Auslesen von USB-Medien. Zudem erfasst die Malware aktive Fenster und Systemverzeichniszustände. Diese Funktionen stellen einen Wechsel von RokRAT dar, die bisher exklusiv dieser Gruppe zugeordnet wurde.
Für die Kommunikation mit Steuerungsservern nutzt NarwhalRAT koreanische Websites wie daehoat.com und novel21.co.kr als primäre C2-Relays. Parallel implementiert der Schädling eine auf der pCloud-API basierende Kommunikation: Im Code wurden pCloud-spezifische Routinen identifiziert, die die Parameter folderid und auth verarbeiten. Dies deutet darauf hin, dass ScarCruft den legitimen Cloud-Dienst als sekundären C2-Kanal in Form eines Dead-Drop-Resolvers einsetzt.
Quelle: www.it-daily.net · Erschienen 18. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.