Die neu entdeckte Schadsoftware LabubaRAT tarnt sich als NVIDIA-Programm, um Windows-Systeme auszuspionieren und Screenshots aufzunehmen.
Sicherheitsforscher des IT-Sicherheitsunternehmens Blackpoint Cyber haben eine bisher unentdeckte Schadsoftware identifiziert, die unter dem Namen LabubaRAT geführt wird. Bei dem Schadprogramm handelt es sich um einen in der Programmiersprache Rust geschriebenen Fernzugriffstrojaner (Remote Access Trojan, RAT), der speziell für Angriffe auf Windows-Betriebssysteme entwickelt wurde.
Um in Unternehmensnetzwerken nicht aufzufallen, tarnt sich die ausführbare Datei als legitime Software des Grafikkartenherstellers NVIDIA. Die Experten Sam Decker und Nevan Beal erklärten in ihrer am 14. Juli 2026 veröffentlichten Analyse: „LabubaRAT schafft einen wiederverwendbaren Stützpunkt für praktische Aktivitäten.“ Sobald die Schadsoftware aktiv ist, kann sie verschiedene Spionageaktivitäten durchführen. Die Forscher führten dazu aus:
„Sobald er implementiert ist, kann er den Host profilieren, Sicherheitswerkzeuge identifizieren, Bedienerbefehle empfangen, Dateien verschieben, Screenshots aufnehmen und Datenverkehr durch das betroffene System leiten.“
Sam Decker und Nevan Beal, Sicherheitsforscher
Flexible Konfiguration und Umgehung der Erkennung
Der Angriff beginnt mit dem Ausführen einer Datei namens nvidia-sysruntime.exe, die sich als Überwachungswerkzeug für die Container-Laufzeitumgebung von NVIDIA ausgibt. Die Binärdatei ist nicht digital signiert, enthält jedoch gefälschte Metadaten, die auf eine Herkunft von der NVIDIA Corporation hindeuten. Eine Besonderheit von LabubaRAT liegt darin, dass die IP-Adressen der Kontrollserver nicht direkt im Code festgeschrieben sind. Stattdessen liest das Programm diese Informationen beim Start über Befehlszeilenparameter ein, die auch in einer Base64-Verschlüsselung übergeben werden können. Die Forscher hielten dazu fest: „Weil diese Werte beim Start bereitgestellt wurden, konnte dieselbe kompilierte Binärdatei mit unterschiedlicher Infrastruktur, Organisationen oder Kampagnengruppen wiederverwendet werden, anstatt sich auf einen fest codierten Server zu verlassen.“
Nach dem Start speichert die Software ihre Konfigurationsdaten in einer lokalen SQLite-Datenbank ab. Danach führt sie eine detaillierte Systemanalyse durch, um installierte Webbrowser und installierte Antiviren- und Endpoint-Detection-and-Response-Sicherheitslösungen (EDR) zu erfassen. Zu den überprüften Programmen gehören:
- Google Chrome, Microsoft Edge, Mozilla Firefox und Brave
- Microsoft Defender, CrowdStrike und SentinelOne
- Carbon Black, Sophos, Malwarebytes und Bitdefender
- ESET, Kaspersky, McAfee, Symantec und Trend Micro
Vielfältige Kommunikationswege für dauerhaften Zugriff
Um eine Entdeckung und Blockierung durch Netzwerkfilter zu erschweren, unterstützt LabubaRAT mehrere Übertragungsverfahren. Neben herkömmlichen HTTPS-Verbindungen nutzt der Trojaner auch das Windows-Steuerelement WebView2 sowie DNS-Tunneling, um Befehle und gestohlene Daten als gewöhnliche DNS-Anfragen getarnt zu übertragen. Zu den Steuerungsfunktionen des Trojaners gehören die Ausführung von Shell-Befehlen, PowerShell-Skripten und JavaScript-Code.
Zudem kann das System als SOCKS5-Proxy eingerichtet werden, um den Netzwerkverkehr der Angreifer über den kompromittierten Rechner umzuleiten. Der Name LabubaRAT leitet sich von der Bezeichnung LabubaPanel ab, die auf den Kontrollservern der Angreifer zusammen mit einem an die asiatische Spielzeugfigur Labubu angelehnten Favicon gefunden wurde. Es gibt Hinweise darauf, dass die Schadsoftware im Rahmen eines Malware-as-a-Service-Modells an andere Kriminelle vermietet wird.
(red)