Remote-Access-Trojaner „Cardinal RAT“
Malware zwei Jahre unentdeckt aktiv
Palo Alto Networks entdeckt Remote-Access-Trojaner „Cardinal RAT“
München, den 20. April 2017 – Palo Alto Networks hat einen bisher unbekannten Remote-Access-Trojaner (RAT) entdeckt, der seit über zwei Jahren aktiv ist. Die Malware wird über eine bisher einzigartige Technik ausgeliefert: Ein Downloader, den die Forscher „Carp“ nennen, verwendet schädliche Makros in Microsoft-Excel-Dokumenten, um eingebetteten C#-Quellcode in eine ausführbare Datei zu kompilieren, die wiederum ausgeführt wird, um die RAT-Malware-Familie Cardinal zu implementieren. Hierbei setzen Kriminelle zunächst eine Reihe von verschiedenen Ködern ein, um Opfer zur Ausführung der bösartigen Excel-Dateien zu verleiten.
Die Mehrheit dieser Köder ist thematisch im finanziellen Umfeld einzuordnen, darunter gefälschte Kundenlisten für verschiedene Unternehmen. Angesichts der Ähnlichkeiten, die einige dieser Köder aufweisen, scheint es, dass die Angreifer eine Art Vorlage verwenden, in der sie einfach bestimmte Zellen mit den entsprechenden Bildern oder Informationen tauschen.
“Cardinal RAT“
Der Name „Cardinal RAT“ kommt von internen Namen, die vom Malware-Autor in den beobachteten ausführbaren Dateien (Microsoft .NET Framework) verwendet werden. Neben mehreren Samples des Carp-Downloaders, wurden bisher 27 einzigartige Samples von Cardinal RAT beobachtet, die bis zu zwei Jahre zurückdatieren. Es ist wahrscheinlich, dass die geringe Anzahl an Samples, die in freier Wildbahn beobachtet wurden, teilweise dafür verantwortlich ist, dass diese Malware-Familie so lange unter dem Radar geblieben ist.
Vorgehensweise des Trojaners
Wenn die Malware erstmals ausgeführt wird, überprüft sie das aktuelle Arbeitsverzeichnis. Sollte es nicht mit dem erwarteten Pfad übereinstimmen, wird Cardinal seine Installationsroutine eintragen. Der RAT kopiert sich hierzu in eine zufällig benannte ausführbare Datei im angegebenen Verzeichnis. Dann kompiliert der Trojaner einen eingebetteten Quellcode, der Watchdog-Funktionalität enthält, und führt diesen aus.
Ein bestimmter Schlüssel wird so eingestellt, dass er auf den Pfad der zuvor kopierten ausführbaren Datei von Cardinal RAT weist. Die ausführbare Datei wird diesen Registrierungsschlüssel in regelmäßigen Abständen abfragen, um sicherzustellen, dass sie entsprechend eingestellt ist. Wenn die ausführbare Datei feststellt, dass der Registrierungsschlüssel gelöscht wurde, wird er sie erneut setzen. Dieser Persistenz-Mechanismus stellt sicher, dass Cardinal RAT jedes Mal, wenn sich ein Benutzer anmeldet, ausgeführt wird.
Der Watchdog-Prozess sorgt auch dafür, dass der Cardinal-RAT-Prozess immer läuft und sicherstellt, dass sich die ausführbare Datei im richtigen Pfad befindet. Sollte eine dieser Bedingungen nicht erfüllt sein, wird der Watchdog-Prozess eine neue Instanz von Cardinal RAT hervorbringen oder Cardinal RAT an den richtigen Ort schreiben.
Nach der Installationsroutine wird sich Cardinal RAT in einen neu erzeugten Prozess injizieren. Nachdem die Konfiguration analysiert wurde, wird der RAT versuchen, sich mit dem C2-Server zu verbinden. Der C2-Server fordert den RAT auf, Informationen vom infizierten Rechner abzurufen und hochzuladen, worauf die Malware entsprechend antwortet.
