Aufstieg von Cerber durch Dridex-Botnetze beschleunigt

Seit Anfang Mai beobachtet FireEye eine drastische Zunahme der Zahl von Spam-Versendungen, die auf die Verbreitung der Ransomware Cerber abzielen. Laut Aussage der Forscher benutzen die Angreifer dieselbe Infrastruktur, die früher schon dem Banker Dridex zu trauriger Berühmtheit verhalf.

Der Verschlüsselungsschädling Cerber, der im vergangenen Februar entdeckt wurde, zeichnet sich dadurch aus, dass er seine Lösegeldforderungen an die Opfer „mündlich“ erhebt. Es wurden Fälle registriert, in denen für seine Verbreitung ein Zero-Day-Exploit zu der Sicherheitslücke CVE-2016-1019 im Adobe Flash Player benutzt wurde, das in den Packs Magnitude und Nuclear enthalten ist. Nach Angaben von FireEye wird der Schädling nun jedoch spätestens seit dem 4. Mai über Spam verbreitet, der mit Dridex-Botnetzen in Verbindung gebracht wird.

„Nachdem er eine Partnerschaft mit den Spammern eingegangen ist, die ihre Effizienz bereits mit der massenhaften Verbreitung von Dridex unter Beweis gestellt haben, muss man davon ausgehen, dass Cerber zu einer ebenso gefährlichen E-Mail-Bedrohung wie Dridex und Locky werden wird“, warnen die Analysten von FireEye im Blog des Unternehmens.

Der Trojaner Dridex hat lange Zeit Unternehmens- und Heimanwender verdrossen, indem er ihre Anmeldedaten für das Online-Banking gestohlen hat. Verbreitet wurde er in erster Linie mit Hilfe von Botnets, die in der Lage sind, Millionen von Spam-Mails pro Tag zu versenden.

Cerber macht sich laut FireEye nun dasselbe Spam-Verbreitungsschema zunutze wie Dridex: Dem potentiellen Opfer wird eine Mail mit schädlichem Anhang geschickt, der angeblich eine Rechnung enthält. Wenn der Nutzer diese Mitteilung öffnet, wird er aufgefordert, Makros zu aktivieren. Bei Aktivierung von Makros wird auf den Rechner ein VBScript mit obfuskiertem Code geladen, dessen eigentliche Bestimmung der Download des Zielschädlings ist. Dieses Infektionsschema hilft den Cyberkriminellen, die Policies der E-Mail-Gateways zu umgehen, die dafür vorgesehen sind, Skripte zu stoppen, die direkt mit Attachments geschickt wurden.

Eine Analyse hat ergeben, dass das schädliche VBScript zum Selbstschutz Junk-Code einsetzt, der ein Reverse-Engineering erschwert, sowie eine verzögerte Ausführung.

Vor dem Download von Cerber überprüft dieses Skript, ob eine Verbindung zum Internet besteht – bei positivem Ergebnis fordert es über HTTP von seiner Website eine jpeg-Datei an. „In den Headern der HTTP-Anfrage stellt es den Wert Range auf bytes=11193- und signalisiert dem Server damit, dass dieser nur den Content ab dem Abstand von 11193 Bytes dieser Datei zurückgeben soll“, erklären die Forscher. Ihren Worten zufolge wurde diese Technik zum Download des restlichen Teils der Malware, inklusive Überprüfung, auch von Ursnif, alias Rovnix, sowie Dridex verwendet.

Mit Letztgenanntem verbindet Cerber auch die ausschließliche Verwendung der englischen Sprache in den Spam-Versendungen, sowie die Imitation legitimer Korrespondenz: Meistens werden die potentiellen Opfer auf eine nicht bezahlte Rechnung hingewiesen oder darüber benachrichtigt, dass eine Postsendung nicht zugestellt werden konnte usw.

Das von FireEye analysierte Sample war insbesondere an Word-Dokumenten interessiert sowie an Dateien, die mit Microsoft Outlook und dem Spieleportal Steam in Verbindung stehen. Um an die auf dem Rechner geöffneten Zieldateien zu gelangen, beendete der Schädling alle mit ihnen in Verbindung stehenden Prozesse. Interessant ist, dass die Konfigurationsdatei von Cerber eine Möglichkeit aufgetan hat, ein Modul zum Spam-Versand hinzuzufügen, obgleich sich diese Funktionalität allem Anschein nach noch in der Testphase befindet.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.