Beveiligingsexperts hebben details bekendgemaakt van een actieve malwarecampagne die misbruik maakt van een DLL-side-loading-kwetsbaarheid in een legitiem binair bestand dat is gekoppeld aan de open-source c-ares-bibliotheek om beveiligingscontroles te omzeilen en een breed scala aan gewone trojans en stealers te leveren.
“Aanvallers proberen te ontwijken door een kwaadaardige libcares-2.dll te koppelen aan een ondertekende versie van de legitieme ahost.exe (die ze vaak hernoemen) om hun code uit te voeren”, aldus Trellix in een rapport gedeeld met The Hacker News. “Deze DLL side-loading-techniek zorgt ervoor dat de malware traditionele, op handtekeningen gebaseerde beveiligingsmaatregelen kan omzeilen.”
Er is waargenomen dat de campagne een breed assortiment malware verspreidt, zoals Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat en XWorm.
Doelwitten van de kwaadaardige activiteit zijn onder meer werknemers in de financiële, inkoop-, toeleveringsketen- en administratieve functies binnen commerciële en industriële sectoren zoals olie en gas en import en export, met lokmiddelen geschreven in het Arabisch, Spaans, Portugees, Farsi en Engels, wat erop wijst dat de aanvallen beperkt zijn tot een specifieke regio.
De aanval draait om het plaatsen van een kwaadaardige versie van de DLL in dezelfde map als het kwetsbare binaire bestand, waarbij wordt geprofiteerd van het feit dat deze vatbaar is voor het kapen van zoekopdrachten om de inhoud van de frauduleuze DLL uit te voeren in plaats van de legitieme tegenhanger ervan, waardoor de bedreigingsacteur mogelijkheden krijgt om code uit te voeren. Het uitvoerbare bestand “ahost.exe” dat in de campagne wordt gebruikt, is ondertekend door GitKraken en wordt doorgaans gedistribueerd als onderdeel van de desktopapplicatie van GitKraken.
Uit een analyse van het artefact op VirusTotal blijkt dat het onder tientallen namen wordt verspreid, waaronder, maar niet beperkt tot, “RFQ_NO_04958_LG2049 pdf.exe”, “PO-069709-MQ02959-Order-S103509.exe”, “23RDJANUARY OVERDUE.INV.PDF.exe”, “verkoopcontract po-00423-025_pdf.exe,” en “Fatura da DHL.exe,” duiden op het gebruik van factuur- en offerteaanvragen (RFQ)-thema’s om gebruikers te misleiden om deze te openen.
“Deze malwarecampagne benadrukt de groeiende dreiging van DLL-sideloading-aanvallen die misbruik maken van vertrouwde, ondertekende hulpprogramma’s zoals ahost.exe van GitKraken om de beveiligingsmechanismen te omzeilen”, aldus Trellix. “Door gebruik te maken van legitieme software en misbruik te maken van het DLL-laadproces kunnen bedreigingsactoren heimelijk krachtige malware zoals XWorm en DCRat inzetten, waardoor aanhoudende toegang op afstand en gegevensdiefstal mogelijk worden.”
De onthulling komt nadat Trellix ook melding maakte van een toename van het aantal phishing-aanvallen op Facebook waarbij gebruik werd gemaakt van de Browser-in-the-Browser (BitB)-techniek om een Facebook-authenticatiescherm te simuleren en nietsvermoedende gebruikers te misleiden om hun inloggegevens in te voeren. Dit werkt door het creëren van een valse pop-up in het legitieme browservenster van het slachtoffer met behulp van een iframe-element, waardoor het vrijwel onmogelijk wordt om onderscheid te maken tussen een echte en valse inlogpagina.
“De aanval begint vaak met een phishing-e-mail, die mogelijk vermomd is als een bericht van een advocatenkantoor”, zegt onderzoeker Mark Joseph Marti. “Deze e-mail bevat doorgaans een valse juridische kennisgeving met betrekking tot een inbreukmakende video en bevat een hyperlink vermomd als een Facebook-inloglink.”
Zodra het slachtoffer op de verkorte URL klikt, wordt hij of zij doorgestuurd naar een valse Meta CAPTCHA-prompt die de slachtoffers de opdracht geeft om in te loggen op hun Facebook-account. Dit activeert op zijn beurt een pop-upvenster dat de BitB-methode gebruikt om een nep-inlogscherm weer te geven dat is ontworpen om hun inloggegevens te verzamelen.
Andere varianten van de social engineering-campagne maken gebruik van phishing-e-mails waarin inbreuken op het auteursrecht worden beweerd, ongebruikelijke aanmeldingswaarschuwingen, dreigende accountsluitingen vanwege verdachte activiteiten of mogelijke beveiligingslekken. Deze berichten zijn bedoeld om een vals gevoel van urgentie te wekken en slachtoffers naar pagina’s te leiden die op Netlify of Vercel worden gehost om hun inloggegevens te achterhalen. Er zijn aanwijzingen dat de phishing-aanvallen mogelijk al sinds juli 2025 aan de gang zijn.
“Door een op maat gemaakt nep-inlog-pop-upvenster in de browser van het slachtoffer te creëren, profiteert deze methode van de bekendheid van de gebruiker met authenticatiestromen, waardoor diefstal van inloggegevens bijna onmogelijk visueel te detecteren is”, aldus Trellix. “De belangrijkste verschuiving ligt in het misbruik van vertrouwde infrastructuur, het gebruik van legitieme cloudhostingdiensten zoals Netlify en Vercel, en URL-verkorters om traditionele beveiligingsfilters te omzeilen en een vals gevoel van veiligheid te geven aan phishing-pagina’s.”
De bevindingen vallen samen met de ontdekking van een meerfasige phishing-campagne die gebruik maakt van Python-payloads en TryCloudflare-tunnels om AsyncRAT te verspreiden via Dropbox-links die verwijzen naar ZIP-archieven die een internetsnelkoppelingsbestand (URL) bevatten. Details van de campagne werden voor het eerst gedocumenteerd door Forcepoint X-Labs in februari 2025.
“De initiële payload, een Windows Script Host (WSH)-bestand, was ontworpen om aanvullende kwaadaardige scripts te downloaden en uit te voeren die op een WebDAV-server worden gehost”, aldus Trend Micro. “Deze scripts vergemakkelijkten het downloaden van batchbestanden en andere payloads, waardoor een naadloze en aanhoudende infectieroutine werd gegarandeerd.”
Een opvallend aspect van de aanval is het misbruik van LotL-technieken (living-off-the-land) die gebruik maken van Windows Script Host, PowerShell en native hulpprogramma’s, evenals van de free-tier infrastructuur van Cloudflare om de WebDAV-server te hosten en detectie te omzeilen.
De scripts die op TryCloudflare-domeinen worden uitgevoerd, zijn ontworpen om een Python-omgeving te installeren, persistentie tot stand te brengen via Windows-opstartmapscripts en de AsyncRAT-shellcode in een “explorer.exe”-proces te injecteren. Tegelijkertijd wordt een lok-PDF aan het slachtoffer getoond als een afleidingsmechanisme, waardoor het slachtoffer wordt misleid door te denken dat er toegang is verkregen tot een legitiem document.
“De in dit rapport geanalyseerde AsyncRAT-campagne demonstreert de toenemende verfijning van bedreigingsactoren in het misbruiken van legitieme diensten en open-source tools om detectie te omzeilen en persistente toegang op afstand tot stand te brengen”, aldus Trend Micro. “Door gebruik te maken van op Python gebaseerde scripts en misbruik te maken van de free-tier infrastructuur van Cloudflare voor het hosten van kwaadaardige payloads, hebben de aanvallers met succes hun activiteiten onder vertrouwde domeinen gemaskeerd, waardoor traditionele beveiligingscontroles zijn omzeild.”
