Trustwave entdeckt neue mehrstufige PDF-Spam-Mails
SpiderLabs hat vor kurzem eine Reihe von bösartigen Spam-Mails mit PDF-Anhang ausfindig gemacht, wobei die eigentliche PDF-Datei nicht als bösartig eingestuft wird, da sie keinen ausführbaren Code beinhaltet. Allerdings sind die Bilder im PDF mit URI-Aktionen hinterlegt, wodurch der Browser beim Anklicken der Bilder auf spezifische URLs umgeleitet wird. Anbei die genauere Analyse:
Die erste Analyse der E-Mail ergab dass der Absender von einem echten AOL Webmail Account stammt und das Volumen der Kampagne als relativ niedrig eingestuft werden kann.
Die Nachricht enthielt einen PDF-Anhang „PAYMENT RECEIPT.pdf“ in dem weder JavaScript Schnipsel noch schädliche Inhalte eingebettet waren. Nach Öffnen des PDFs zeigte sich ein unscharfes Bild mit dem Vorschlag, das Dokument online einzusehen und zu sichern.
Hinter dem Bild war eine URI-Aktion hinterlegt, die den Browser öffnet und eine URL lädt.
Die tinyurl Umleitungen ging auf der folgenden Webseite:
Dann erschien folgende Warnung:
Nach Bestätigung mit OK wurde eine gefälschte Adobe-ID-Anmeldeseite dargestellt.
Das Formular akzeptierte willkürliche Eingaben, so dass man darauf schließen konnte dass es sich um ein gefälschtes Anmeldeformular handelte. Um nun das sichere PDF Dokument online einzusehen, wurde man aufgefordert eine Word (.doc) Datei herunterzuladen.
Sobald wir das Dokument speicherten und versuchten es zu öffnen … erschien ein weiteres unscharfes Bild mit Anweisungen, um die Inhalte zu aktivieren:
Neben dem schlechten Englisch beinhaltete das Dokument ein Makro. Jetzt wurde es interessant. Mit oledump.py wurde das Makro extrahiert. Wie zu erwarten, war der Code verschleiert. Allerdings konnte man durch den Einsatz von URLDownloadToFileA und ShellExecute annehmen, dass dieser Code eine Datei herunterladen und ausführen wird.
Wenn man also das Dokument öffnet, lädt das Makro eine Datei in das temp Verzeichnis und führt diese aus. In Zeile 36 wird ein langer String angezeigt, der mit einer Entschlüsselungsfunktion in Zeile 49 entschlüsselt wird. Die Entschlüsselungsfunktion kehrt zunächst die Zeichenfolge um und wendet dann eine einfache -1 Buchstabenersatz-Chiffrierung bei den ASCII-Zeichen an. So wird ein „f“ zu einem „e“, oder ein „y“ zu einem „x“ und so weiter. Die neue Zeichenfolge ergab dann folgende URL:
Nach dem Herunterladen gab es im Labor Probleme die Datei auszuführen, da angeblich das .NET falsch war. Auch eine Neuinstallation von .NET konnte dies nicht beheben. Bei der statischen Analyse des Binary (MD5: 5bb68067ca34e94b875b3c56e3b31e48) offenbarte sich ein geschichteter und verschleierter .Net-Dropper, der das Kazy Rootkit und den DarkComet RAT installiert, einen bekannten Remote Access Trojaner.
Zusammenfassend kann man sagen, dass diese Art der E-Mail-Angriffe, mit scheinbar harmlosen PDF-Anhängen, die zu einer Kette an bösartigen Aktionen führt, weiter auf dem Vormarsch ist. Da die meisten E-Mail Gateways makro-basierte Word-Malware-Dokumente als E-Mail Anhang mittlerweile gut erkennen und blockieren, erhoffen sich die Angreifer mit der Methode von manipulierten PDF-Anhängen eine höhere Erfolgsquote in der Umgehung der E-Mail-Gateway-Scanner. Allerdings könnte der mehrstufige und interaktive Charakter dieser Angriffsmethode auch zu einem vorzeitigen Abbruch durch den genervten User führen, so dass das manipulierte Word-Dokument erst gar nicht zum Einsatz kommt.
Die Trustwave Secure Email Gateway Lösung schützt vor diesen Angriffen.