Cyberkriminelle missbrauchen OpenClaw-Workflows zur Verbreitung von Remcos RAT und GhostLoader.
Die ThreatLabz-Researcher von Zscaler haben eine neuartige Angriffskampagne analysiert, die gezielt den wachsenden Einsatz von autonomen KI-Agenten Entwicklungs- und Unternehmensumgebungen ins Visier nimmt. Die Angreifer machen sich das Open Source-Framework OpenClaw zunutze, das KI-Agenten zur Umsetzung komplexer Aufgaben mit weitreichenden Systemzugriffsrechten ausstattet. Das zur Automatisierung von Workflow entwickelte Rahmenwerk wird jetzt als gefährlicher Angriffsvektor instrumentalisiert.
Zusammenfassung (TL; DR):
- Cyberkriminelle missbrauchen das KI-Framework OpenClaw über einen manipulierten Skill namens „DeepSeek-Claw“, um bösartige Befehle automatisiert durch KI-Agenten ausführen zu lassen.
- Auf Windows-Systemen führt die Infektionskette über DLL-Sideloading zur verdeckten Installation des Remcos RAT, welcher lokale Sicherheitsmechanismen wie AMSI im Arbeitsspeicher blockiert.
- Für macOS- und Linux-Systeme nutzen die Angreifer verschleierte npm-Skripte und gefälschte Passwort-Prompts, um den Information Stealer GhostLoader einzuschleusen und sensible Daten wie SSH-Keys und API-Tokens zu entwenden.
Im Zentrum der Kampagne steht ein manipulierter Skill namens „DeepSeek-Claw“, der Installationsanweisungen für KI-Agenten enthält, die zur Ausführung versteckter Payloads führen können. Nach Aktivierung kommt es zur Installation des Remcos Remote Access Trojaners (RAT) auf Windows-Systemen oder zur Verbreitung des plattformübergreifenden Information Stealers GhostLoader auf macOS- und Linux-Rechnern.
Automatisierte Infektion durch manipulierte Anweisungen
Die analysierte Angriffskette wird in Gang gesetzt, wenn ein Entwickler den präparierten OpenClaw-Skill herunterlädt oder klont, in der Annahme, dass es sich um eine legitime Erweiterung zur Systemintegration von DeepSeek handelt. Die dem Repository beigefügte Instruktionsdatei dient dabei als initialer Trigger.
Die darin enthaltenen Befehle werden im Workflow entweder manuell angestoßen oder durch den KI-Agenten selbstständig geparst und ausgeführt. Dieser automatisierte Vorgang umgeht traditionelle Interaktionshürden und führt zur stillen Kompromittierung des Systems. Bemerkenswert ist die Aufspaltung der Infektionskette in zwei hochspezifische Pfade, die sich flexibel an das Betriebssystem und die jeweilige Ausführungsmethode anpassen.
In SKILL.md, the instruction file included with the repository, the threat actor presents multiple execution paths. On Windows, a PowerShell one-liner downloads and executes a remote MSI installer that deploys Remcos RAT. The manual (cross-platform) instructions instead deliver GhostLoader via a separate installation method.
Wird der automatisierte Befehl auf einem Windows-System ausgeführt, initiiert eine versteckte PowerShell-Kommandozeile den direkten Download eines manipulierten Windows Installer-Pakets.
Dieses bringt zwei entscheidende Dateien auf das Zielsystem: eine digital signierte, legitime ausführbare Datei der Kommunikationssoftware GoToMeeting sowie eine bösartige Programmbibliothek. Durch die strategische Platzierung der schadhaften Bibliothek im selben Verzeichnis wird eine Schwachstelle in der Suchreihenfolge für Abhängigkeiten ausgenutzt – ein als DLL-Sideloading bekanntes Verfahren. Startet die GoToMeeting-Anwendung, lädt sie unwissentlich die bösartige Datei der Angreifer. So verbergen sich diese im Schatten eines vertrauenswürdigen Prozesses und umgehen verhaltens- und signaturbasierte Erkennungsmuster.
Remcos RAT blendet Sicherheitssysteme
Die geladene Bibliothek agiert anschließend als In-Memory-Shellcode-Loader für den Remcos RAT und bedient sich dabei komplexer Verschleierungstechniken. Um einer tiefergehenden Analyse zu entgehen, patcht der Loader dynamisch die Ereignisablaufverfolgung für Windows (ETW) sowie das Antimalware Scan Interface (AMSI) direkt im Arbeitsspeicher.
Diese Eingriffe unterbinden die Telemetriedatenerfassung moderner Sicherheitssysteme und blockieren lokale Speicherscanner zuverlässig. Zudem nutzt der Loader hochentwickelte Anti-Debugging-Mechanismen und misst die Ausführungszeit zur Erkennung von isolierten Sandbox-Analysen. Erst nach der erfolgreichen Umgehung all dieser Schutzschichten wird die eigentliche Payload mithilfe des Tiny Encryption Algorithm entschlüsselt, was den Malware-Akteuren weitreichenden Fernzugriff auf das Netzwerk gewährt.
GhostLoader greift plattformübergreifend Entwickler-Umgebungen an
Für macOS- und Linux-Systeme sowie bei manuellen Installationen via npm oder Shell-Skripten greift der zweite Infektionspfad. Dieser fokussiert gezielt auf die Installation der Stealer-Malware GhostLoader. GhostLoader, auch bekannt als GhostClaw, ist ein Plattform-übergreifender Stealer, der auf Entwicklungsumgebungen abzielt und Entwicklungs-Workflow zur Datenexfiltrierung ausnutzt.
Die Bereitstellung erfolgt über eine stark verschleierte Node.js-Payload, die tief in den npm-Skripten verborgen ist. Auf Apple- und Linux-Rechnern agiert das Skript zudem als Dropper und wendet ausgeklügelte Social-Engineering-Methoden direkt in der Kommandozeile an. Durch gefälschte Passwort-Prompts für administrative Rechte werden Anwender geschickt zur Eingabe ihrer Systemkennwörter verleitet. Nach erfolgreicher Ausführung entwendet der GhostLoader systematisch hochsensible Daten wie den macOS-Keyring, SSH-Keys, Wallets für Kryptowährungen und Cloud-API-Tokens, die im Anschluss verschlüsselt an die Command-and-Control-Server der Angreifer weitergeleitet werden.
KI Workflows im Visier
Die Kampagne verdeutlicht, wie schnell neue KI-Workflows zu Angriffsflächen werden können. Indem klassische Angriffsmethoden mit modernen Automatisierungswerkzeugen verschmelzen, eröffnen sich völlig neue Einfallstore in gut abgeschottete Entwicklerumgebungen. Da autonome KI-Agenten zum Standardrepertoire in der Softwareentwicklung avancieren, müssen Organisationen ihre Sicherheitsarchitekturen anpassen. Drittanbieter-Plugins und Erweiterungen für KI-Frameworks machen rigorose Prüfprozesse vor ihrer Integration erforderlich.
Zudem ist die Implementierung einer strengen Verhaltensüberwachung für externe Skills und Skripte erforderlich, um bösartige Anomalien innerhalb der Ausführungskette frühzeitig zu erkennen. Nur durch eine konsequente proaktive Validierung und ein engmaschiges kontinuierliches Monitoring lassen sich derartige fortschrittliche Bedrohungen erfolgreich abwehren.
