News

Aufstieg von Cerber durch Dridex-Botnetze beschleunigt

Seit Anfang Mai beobachtet FireEye eine drastische Zunahme der Zahl von Spam-Versendungen, die auf die Verbreitung der Ransomware Cerber abzielen. Laut Aussage der Forscher benutzen die Angreifer dieselbe Infrastruktur, die früher schon dem Banker Dridex zu trauriger Berühmtheit verhalf.

Der Verschlüsselungsschädling Cerber, der im vergangenen Februar entdeckt wurde, zeichnet sich dadurch aus, dass er seine Lösegeldforderungen an die Opfer „mündlich“ erhebt. Es wurden Fälle registriert, in denen für seine Verbreitung ein Zero-Day-Exploit zu der Sicherheitslücke CVE-2016-1019 im Adobe Flash Player benutzt wurde, das in den Packs Magnitude und Nuclear enthalten ist. Nach Angaben von FireEye wird der Schädling nun jedoch spätestens seit dem 4. Mai über Spam verbreitet, der mit Dridex-Botnetzen in Verbindung gebracht wird.

„Nachdem er eine Partnerschaft mit den Spammern eingegangen ist, die ihre Effizienz bereits mit der massenhaften Verbreitung von Dridex unter Beweis gestellt haben, muss man davon ausgehen, dass Cerber zu einer ebenso gefährlichen E-Mail-Bedrohung wie Dridex und Locky werden wird“, warnen die Analysten von FireEye im Blog des Unternehmens.

Der Trojaner Dridex hat lange Zeit Unternehmens- und Heimanwender verdrossen, indem er ihre Anmeldedaten für das Online-Banking gestohlen hat. Verbreitet wurde er in erster Linie mit Hilfe von Botnets, die in der Lage sind, Millionen von Spam-Mails pro Tag zu versenden.

Cerber macht sich laut FireEye nun dasselbe Spam-Verbreitungsschema zunutze wie Dridex: Dem potentiellen Opfer wird eine Mail mit schädlichem Anhang geschickt, der angeblich eine Rechnung enthält. Wenn der Nutzer diese Mitteilung öffnet, wird er aufgefordert, Makros zu aktivieren. Bei Aktivierung von Makros wird auf den Rechner ein VBScript mit obfuskiertem Code geladen, dessen eigentliche Bestimmung der Download des Zielschädlings ist. Dieses Infektionsschema hilft den Cyberkriminellen, die Policies der E-Mail-Gateways zu umgehen, die dafür vorgesehen sind, Skripte zu stoppen, die direkt mit Attachments geschickt wurden.

Eine Analyse hat ergeben, dass das schädliche VBScript zum Selbstschutz Junk-Code einsetzt, der ein Reverse-Engineering erschwert, sowie eine verzögerte Ausführung.

Vor dem Download von Cerber überprüft dieses Skript, ob eine Verbindung zum Internet besteht – bei positivem Ergebnis fordert es über HTTP von seiner Website eine jpeg-Datei an. „In den Headern der HTTP-Anfrage stellt es den Wert Range auf bytes=11193- und signalisiert dem Server damit, dass dieser nur den Content ab dem Abstand von 11193 Bytes dieser Datei zurückgeben soll“, erklären die Forscher. Ihren Worten zufolge wurde diese Technik zum Download des restlichen Teils der Malware, inklusive Überprüfung, auch von Ursnif, alias Rovnix, sowie Dridex verwendet.

Mit Letztgenanntem verbindet Cerber auch die ausschließliche Verwendung der englischen Sprache in den Spam-Versendungen, sowie die Imitation legitimer Korrespondenz: Meistens werden die potentiellen Opfer auf eine nicht bezahlte Rechnung hingewiesen oder darüber benachrichtigt, dass eine Postsendung nicht zugestellt werden konnte usw.

Das von FireEye analysierte Sample war insbesondere an Word-Dokumenten interessiert sowie an Dateien, die mit Microsoft Outlook und dem Spieleportal Steam in Verbindung stehen. Um an die auf dem Rechner geöffneten Zieldateien zu gelangen, beendete der Schädling alle mit ihnen in Verbindung stehenden Prozesse. Interessant ist, dass die Konfigurationsdatei von Cerber eine Möglichkeit aufgetan hat, ein Modul zum Spam-Versand hinzuzufügen, obgleich sich diese Funktionalität allem Anschein nach noch in der Testphase befindet.

Quelle: Threatpost

Aufstieg von Cerber durch Dridex-Botnetze beschleunigt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach