Bot Kasidet wird via Office Makros in Umlauf gebracht

Schon häufig wurde bewiesen, dass die Liebe Cyberkrimineller zu Microsoft Office Makros neu entfacht wurde und sie diese aktiv einsetzen, um Bankschädlinge in Umlauf zu bringen, in letzter Zeit auch BlackEnergy. Kürzlich entdeckten die Forscher von dem kalifornischen Unternehmen zScaler, dass die Verbreiter des Bots Kasidet, auch bekannt als Neutrino, diesen Vektor ebenfalls verwenden.

Schädliche Office-Dokumente werden in Form von Anhängen an zielgerichtete Phishing-Mails (spear-phishing) unter die Leute gebracht; den Beobachtungen von zScaler zufolge wurde dieses gering aufgelegte Spam in den letzten Wochen besonders aggressiv. Bemerkenswert ist, dass dieser VBA-Dropper neben Kasidet auch den Banken-Schädling Dridex lädt.

Der Schädling Kasidet ist seit dem Jahr 2013 bekannt und wurde bis vor kurzem in erster Linie zur Durchführung von DDoS-Attacken eingesetzt. Die von zScaler beobachtete Variante verfügt über eine breiter gefasste Funktionalität, unter anderem ist sie in der Lage, Daten zu stehlen. Dabei können vertrauliche Informationen sowohl aus dem Browser – durch Abfangen der API – als auch aus dem Speicher von PoS-System (das entsprechende Modul wurde Gerüchten zufolge im September letzten Jahres hinzugefügt) entwendet werden. Bemerkenswert ist, dass die Namen der Browser – Firefox, Chrome, IE – im Code des Schädlinge in verschlüsselter Form gespeichert werden, und zwar unter Verwendung genau der Hash-Funktion, die früher zu demselben Zweck in Carberp benutzt wurde.

Der neue Kasidet kann zudem feststellen, ob Schutz- und Analyse-Lösungen eingesetzt werden, wie etwa Debugger, Sandboxes und virtuelle Maschinen. Die gesamten gestohlenen Informationen sowie die Angaben über das infizierte System sendet der Bot an die C&C-Server, die in Form von verschlüsselten URL in den Code geschrieben sind.

Bei der Präsentation ihrer Analyseergebnisse gaben die Forscher zu bedenken, dass das gemeinsame Laden von Kasidet und Dridex keinesfalls bedeutet, dass beide Kampagnen miteinander in Verbindung stehen. „Schädliche Office Dateien sind ein unter Cyberkriminellen populärer Vektor zur Verbreitung von Payload“, schreiben die Forscher in ihrem Bericht. „Die Autoren von Dridex setzen diese Technik schon über ein Jahr ein. Interessant war festzustellen, dass dieselbe Kampagne mit denselben URL auch genutzt wird, um Kasidet zu verbreiten.“

Die Verbreiter von Dridex bewaffneten sich Ende des Jahres 2014 mit Office-Makros und nutzten zunächst das Format Excel, bevor sie zu XML übergingen. Im Oktober registrierte Invincea eine erneute Steigerung der Dridex-Aktivität in Frankreich, und zu Beginn des vergangenen Monats entdeckten die Forscher von IBM eine neue Version des Bankers, der es auf britische Banken abgesehen hat. In allen Fällen wurden für die Zustellung des Trojaners Makros eingesetzt, obgleich sie standardmäßig bereits seit langem deaktiviert sind und die Verbrecher die Anwender nun irgendwie dazu bringen müssen, Makros manuell zu aktivieren. Offensichtlich ist dieser Verbreitungsvektor noch immer äußerst effizient.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.