Von SambaSpy bis Sorillus: ein Tanz durch eine mehrsprachige Phishing-Kampagne in Europa

Wie unser CyberSOC beobachtet hat, wird die Infektionskette durch eine Phishing-E-Mail eingeleitet, die den Empfänger zur Zahlung auffordert. Sie wurde von einer spanischen E-Mail-Adresse (a******@instalacionesrejemar[.]es) über die kompromittierte Domain eines lokalen KMU gesendet. Diese französische E-Mail enthält einen als Rechnung getarnten PDF-Anhang mit dem Titel „Facture.pdf“ (französisch für „Rechnung“). Die Datei enthält ein Stream-Objekt, das beim Anklicken einen OneDrive-Ansichtslink in Edge öffnet.

Der OneDrive-Link zeigt eine direkt auf OneDrive gehostete PDF-Datei an und fordert den Benutzer auf, auf die Schaltfläche „Dokument öffnen“ zu klicken. Diese Schaltfläche leitet dann das Opfer zu einem bösartigen Webserver weiter, der mit ngrok – einem global verteilten Reverse-Proxy – infiziert ist, der als Traffic-Distribution-System (TDS) fungiert. Der Server überprüft anschließend die Browser- und Spracheinstellungen des Opfers, um zu entscheiden, ob die nächste Infektionsstufe durchgeführt werden soll.

Sind die Voraussetzungen für die nächste Infektionsstufe nicht erfüllt, wird der Benutzer zu einer legitimen und harmlosen Rechnung weitergeleitet. Sind die Überprüfungen jedoch erfolgreich, wird eine JAR-Datei von einer MediaFire-Download-URL heruntergeladen. In unserem Fall tarnte sich die Datei als PNG-Bilddatei (1741159637278.png).

Abhängig von ihrer Konfiguration versucht die JAR-Datei bei der Ausführung, einen Persistenz Mechanismus zu erstellen, indem sie einen Registrierungsunterschlüssel hinzufügt und seinen Wert so festlegt, dass die JAR-Datei unter einem anderen Namen mit javaw.exe ausgeführt wird.

Nach der Dekompilierung der Sorillus-JAR-Datei konnten unsere Reverse Engineers mehrere menschenlesbare Pakete und Klassendateien gewinnen.

Der Inhalt dieser Klassen wird mit den Zeichen „[Il]{5,}“ verschleiert, ähnlich wie es die eSentire-Forscher 2023 beobachteten. Zeichenfolgen werden mithilfe von drei Methoden willkürlich verschlüsselt:

• Verschlüsselung mit dem „Blowfish“-Schlüssel,
• DES-Verschlüsselung
• XOR-Verschlüsselung

Die RAT-Konfiguration ist als Ressource namens „Checksum“ eingebettet, die mit AES ECB entschlüsselt wird. Die Konfigurationsstruktur ist unten dargestellt:

Der Host fungiert als C2-Server für die RAT. In einigen von uns analysierten Beispielen unterscheidet sich die Konfiguration geringfügig. Die Host- und Port-Informationen des C2-Servers sind in einem PasteBin enthalten, das über das Feld „Pastebin_Link“ verknüpft ist, anstatt in den Einträgen „Host“ und „Port“. Die verschiedenen Sorillus-Versionen greifen größtenteils auf einen C2-Server zu, der hinter einem LocaltoNet- oder playit[.]gg-Tunnel-Proxy gehostet wird.

Sorillus kann auf Linux-, macOS- und Windows-Betriebssysteme abzielen und ist darauf ausgelegt, die folgenden Zielinformationen zu erfassen:

• Hardware-ID
• Benutzername
• Land
• Sprache
• Webcam-Aufnahmen
• Headless-Status
• Betriebssystemdetails
• Client-Version

Nach der Analyse identifizierten unsere Reverse Engineers die folgenden Funktionen:

• Ausführen von Befehlen
• Verwendung von WMI (Windows Management Instrumentation)
• Zugriff auf und Änderung des Dateisystems
• Verwaltung von Prozessen (Auflisten, Beenden usw.)
• Erstellung von ZIP-Dateien zur Exfiltration
• Herunterladen und Hochladen von Dateien über HTTP
• Erfassung von Systeminformationen (laufende Prozesse, Bildschirmgröße, Hardwaredetails) unter Mac, Linux und Windows
• Ermittlung der öffentlichen IP-Adresse des Opfers über checkip.amazonaws.com
• Überprüfung des Ländercodes des Opfercomputers
• Aufnahme von Bildern mit der Webcam des Computers
• Aufzeichnung von Webcam-Videos
• Aufnahme von Audio vom Mikrofon
• Aufnahme von Screenshots und Bildschirmvideos
• Protokollierung von Tastatureingaben
• Lesen des Inhalts der Zwischenablage
• Verwendung von Text-to-Speech auf dem Computer des Opfers
• Selbstdeinstallation
• Herunterfahren oder Neustarten des Systems

Die neuesten Versionen von Sorillus wurden im September (V7) und November 2024 (V8) veröffentlicht. Sie führten insbesondere eine Android-kompatible Version des RAT ein. Im Januar 2025 wurde jedoch die Malware-as-a-Service-Website, die zur Bewerbung des Trojaners genutzt wurde, abgeschaltet. Dies steht möglicherweise im Zusammenhang mit der Operation Talent des FBI gegen die E-Commerce-Plattform SellIX, die vermutlich zur Vermarktung von Sorillus genutzt wurde.

Dennoch sind zahlreiche gecrackte Versionen von Sorillus RAT online verfügbar. Eine gecrackte Version 6.1 wurde im Juni 2023 auf Telegram geleakt, und mehrere weitere Varianten sind problemlos auf Telegram und GitHub zu finden.

Durch die Analyse der verschiedenen Schritte dieser Infektionskette entdeckten wir ein großes Cluster, das aktiv europäische Unternehmen mit Ködern in Spanisch, Französisch, Portugiesisch, Niederländisch oder Englisch ins Visier nahm. Die PDF-Dateien verwiesen systematisch auf eine Rechnung, ihr genauer Inhalt variierte jedoch.

Darüber hinaus beobachteten wir, wie Bedrohungsakteure verschiedene, leicht unterschiedliche Infektionsketten testeten:

• In einigen Fällen enthielten die Köder DropBox-URLs anstelle von OneDrive.
• Einige Sorillus-JAR-Dateien werden auf anderen Diensten wie Discord oder GitHub statt auf Mediafire gehostet.
• Ngrok-URLs werden manchmal nach einer HTML-Umleitung erreicht, die durch einen leicht verschleierten JS-Code durchgeführt wird. Dieser HTML-Code wird manchmal auf GitHub gehostet und erscheint in der beschriebenen Kampagne nach der OneDrive-URL.
• In einigen Fällen beobachteten wir auch die Verwendung eines zwischengeschalteten VBS-Loaders. Der VBS-Code wird durch eine einfache ASCII-Zeichenfolge verschleiert, die in zweistellige Zeichenfolgen umgewandelt wird. Das unverschlüsselte Skript enthält in seinen Kommentaren den Text des brasilianischen Liedes „Negro Drama“, was recht überraschend ist. Das VBS ist so konzipiert, dass es einen rechnungsbezogenen Köder in Google Drive öffnet und ein ZIP-Archiv mit der Sorillus-JAR-Datei von einer Ngrok-URL abruft.

Wir haben außerdem mehrere aktuelle Versionen von Sorillus abgerufen, die leichte Unterschiede aufweisen, insbesondere hinsichtlich der Verschleierungsmethoden. Alle verwenden die gleiche „Il“-Muster-Verschleierung innerhalb der oben genannten Klassen. Die meisten verwenden dieselbe Methode zur Verschleierung von Klassen- und Paketnamen. Nur einige Varianten setzen auf eine separate AES-Entschlüsselung mit SHA256 und ECB-Modus zur Entschlüsselung von Strings. In ausgewählten Fällen ist die Prüfsummen-Konfigurationsdatei nicht verschleiert.

Einige frühere Sorillus-RAT-Cluster wurden mit kommerziellen oder Open-Source-Obfuskatoren wie dem Zelix KlassMaster (wie Kaspersky im Mai 2024 berichtete) oder dem Skidfuscator (Anfang 2025) verschleiert.

Wir fanden außerdem ein Sample namens „test_obfuscated.jar“ vom 7. Februar 2025 ohne funktionierende Klassen. Das Sample war zudem schlecht verschleiert, da Base64 zur Maskierung von Klassennamen eingesetzt wurde, was darauf hindeuten könnte, dass es sich um einen Test handelte.

Aufgrund der Kommentare in brasilianischem Portugiesisch gehen wir davon aus, dass brasilianische Bedrohungsakteure hinter beiden Droppern stecken. Dennoch unterscheiden sich die beiden deutlich.