PWOBot-Malware nimmt Unternehmen in Europa ins Visier

Malware-Familie PWOBot nimmt Unternehmen in Europa ins Visier – Palo Alto Networks warnt vor Python-basierter Schadsoftware

München, den 20. April 2016 Palo Alto Networks meldet ganz aktuell die Entdeckung der Malware-Familie „PWOBot“. Das Besondere an PWOBot ist, dass die Malware komplett in Python geschrieben ist und über PyInstaller kompiliert wurde, um eine ausführbare Datei für Microsoft Windows zu erzeugen. Von der Malware war bereits eine Reihe von Unternehmen in Europa betroffen. Verbreitet wird der größte Teil der Malware offensichtlich über einen File-Sharing-Dienst.

Die Malware beinhaltet eine Fülle von Funktionen, einschließlich der Fähigkeit, Dateien herunterzuladen und auszuführen, Python-Code auszuführen, Tastatureingaben zu protokollieren, einen HTTP-Server zu generieren und Bitcoin-Mining über die CPUs und GPUs der Opfer-Rechner zu betreiben. Es gibt mindestens zwölf Varianten von PWOBot. Die Unterschiede zwischen den Versionen erscheinen minimal und dienen wahrscheinlich der Optimierung der Performance. Angriffe, die dieser Malware zugerechnet werden, gehen bis Ende 2013 zurück und haben sich zuletzt intensiviert. Betroffen waren unter anderem in Polen ein Forschungsinstitut, eine Reederei, ein Einzelhandelsunternehmen, ein IT-Unternehmen sowie in Dänemark ein Bauunternehmen und in Frankreich ein Anbieter von optischen Geräten.

Einige Samples von PWOBot geben sich als Software-Utility-Programme aus. Die Auslieferung erfolgt vermutlich auf die Art, dass der Endnutzer glaubt, eine andere Software herunterzuladen. Alternativ ist es möglich, dass Phishing-Angriffe verwendet werden, um wurden Opfer dazu zu verleiten, diese Dateien herunterzuladen. Nach Abschluss der Installation erfasst PWOBot verschiedene Tastatur- und Mausaktivitäten, die für späteres Keylogging verwendet werden. PWOBot ist auch mit zwei Konfigurationsdateien ausgestattet, von denen eine verschiedene Einstellungen vorgibt, wie die Malware verwendet werden soll, während die angibt, mit welchen Remote-Servern PWOBot während der Ausführung eine Verbindung herstellen soll. PWOBot enthält verschiedene ausführbare Windows-Dateien. Diese werden verwendet, um Bitcoin Mining und Proxy-Anfragen über Tor auszuführen. Der Bitcoin Miner ist eine kompilierte Version von minerd und cgminer. Diese Dateien werden für CPU und GPU Bitcoin Mining verwendet.

PWOBot ist in modularer Weise aufgebaut, so dass der Angreifer verschiedene Module während der Laufzeit einbinden kann. Da Python verwendet wird, kann die Malware leicht auf andere Betriebssysteme portiert werden, wie Linux oder OS X. Diese Tatsache, in Kombination mit einem modularen Aufbau, macht PWOBot zu einer potenziell erheblichen Bedrohung.

PWOBot nutzt Tor zum Tunneln des gesamten Datenverkehrs an die Remote-Server des Angreifers, was Verschlüsselung und Anonymität bietet. Wird solcher Verkehr beobachtet, der die Sicherheitsregeln des betroffenen Unternehmens verletzen dürfte, sollte dies eine Warnung an den Netzwerkadministrator sein. PWOBot verwendet ein Python-Dictionary als Netzwerk-Protokoll. Zu bestimmten Zeiten sendet PWOBot eine Benachrichtigung an den Remote-Server. Der Angreifer kann dann anweisen, dass PWOBot bestimmte Aktivitäten ausführt, deren Resultate dann zum Angreifer hochgeladen werden.

Mehr Informationen zur neuen Malware-Entdeckung unter … http://researchcenter.paloaltonetworks.com/2016/04/unit42-python-based-pwobot-targets-european-organizations/