ResolverRAT-Malware entgeht der Erkennung und trifft Pharma- und Gesundheitsunternehmen

ResolverRAT, eine heimtückische Dateilose Malware, zielt mit Phishing-basierten Angriffen auf das Gesundheitswesen und die Pharmaindustrie, warnt Morphisec Labs.

Eine gefährliche neue Malware-Variante namens ResolverRAT wurde von Morphisec Labs entdeckt und wird bereits in gezielten Cyber-Angriffen gegen Gesundheits- und Pharmazieunternehmen weltweit eingesetzt.

Morphisec berichtet, dass ResolverRAT ein Remote Access Trojaner (RAT) ist, der darauf ausgelegt ist, Entdeckung und Analyse zu vermeiden. Im Gegensatz zu herkömmlicher Malware läuft ResolverRAT vollständig im Speicher und hinterlässt keine Dateien auf der Festplatte, was es viel schwieriger macht, ihn mit herkömmlichen Antivirus-Tools zu entdecken.

Die Bedrohung wurde erstmals in Angriffen gegen Morphisec-Kunden festgestellt, insbesondere in der Gesundheitsbranche, wobei die letzte Welle am 10. März 2025 auftrat.

Die Forscher erklären, dass ResolverRAT sehr realistische Phishing-E-Mails in mehreren Sprachen verwendet, um Firmenmitarbeiter zum Herunterladen infizierter Dateien zu täuschen. Die E-Mails drohen mit rechtlichen Konsequenzen wie Urheberrechtsverletzungen, um die Empfänger zum Klicken zu zwingen.

„Diese Kampagnen spiegeln den anhaltenden Trend zu stark lokalisiertem Phishing wider“, bemerkt Morphisec und erklärt, dass das Anpassen von Sprache und Themen nach Ländern die Chance erhöht, dass jemand auf den Betrug hereinfallen wird.

Sobald sich ResolverRAT in einem System befindet, lädt es ein verstecktes schädliches Programm mithilfe einer Methode namens DLL-Side-Loading, oft getarnt innerhalb einer legitimen App. Dies ermöglicht es der Malware, unbemerkt einzudringen, ohne Alarme auszulösen.

Die Malware verwendet starke Verschlüsselungs- und Verschleierungstechniken, um ihre wahre Absicht zu verbergen. Sie arbeitet ausschließlich im Arbeitsspeicher des Computers, vermeidet die Nutzung normaler Systemdateien und erstellt sogar gefälschte Zertifikate, um eine sichere Netzwerküberwachung zu umgehen.

Sein Design beinhaltet mehrere Methoden, um verborgen und aktiv zu bleiben, selbst wenn einige blockiert sind. Es installiert sich in verschiedenen Teilen des Systems und verwendet eine rotierende Liste von Servern und verschlüsselte Kommunikation, um einer Entdeckung zu entgehen.

Morphisec warnt davor, dass ResolverRAT Teil einer globalen Operation zu sein scheint, mit Ähnlichkeiten zu anderen bekannten Cyberangriffen. Gemeinsame Tools, Techniken und sogar identische Dateinamen deuten auf eine koordinierte Anstrengung oder gemeinsame Ressourcen unter Bedrohungsgruppen hin.

„Diese neue Malware-Familie ist besonders gefährlich für Gesundheits- und Pharmaunternehmen aufgrund der sensiblen Daten, die sie besitzen“, sagte Morphisec.

Um Bedrohungen wie ResolverRAT zu bekämpfen, fördert Morphisec seine Automatisierte Moving Target Defense (AMTD), die Angriffe in der frühesten Phase verhindert, indem sie die Angriffsfläche ständig verändert und es somit für Malware schwieriger macht, ein Ziel zu finden.

ResolverRAT ist ein klares Beispiel dafür, wie sich die hochentwickelte Cyberkriminalität entwickelt – und warum entscheidende Sektoren wie das Gesundheitswesen immer einen Schritt voraus sein müssen.