Brasilien: Herausforderung durch neue Entschlüsselungstaktik

Vor einiger Zeit habe ich einen Hintergrundartikel darüber geschrieben, wie Bank-Trojaner in Brasilien funktionieren, aber inzwischen ist auch ihre Zeit abgelaufen, so dass die brasilianischen Programmierer nun versuchen, ihre Fähigkeiten zu verbessern und die Komplexität ihrer Methoden zur Infizierung von Computern permanent erhöhen. Ein Beweis dafür ist das Sample, das ich heute bearbeitet habe. Die Betrugsmethode nutzt den herkömmlichen Ansatz:

Versenden einer betrügerischen E-Mail mit einem Link zu einer infizierten Webseite —-> Download und Ausführen des ersten Trojaner-Downloader —-> Download und Installation der Bank-Trojaner

Zwischen den zweiten und den dritten Schritt wird ein (für Brasilien) neues Konzept angewendet, wenn der Trojaner-Downloader die Bank-Trojaner herunterlädt und installiert. Einerseits verbergen die brasilianischen Programmierer den Download-Link unter Verwendung mehrerer Techniken und andererseits entschlüsseln sie nun auch den Bank-Trojaner, der auf das System geladen werden soll.

Erkennt der Anwender z.B. den Link den betrügerischen Link und versucht, die Trojaner dahinter herunterzuladen, wird er in etwa das folgende Bild sehen:

Es handelt sich um eine (speziell entschlüsselte) PE-Datei. Die Programmierer aus Brasilien verwenden diese Technik, um eine automatisierten Malware-Analyse und die Überwachungsverfahren durch AV-Unternehmen zu umgehen. Dieses in dieser Form auf den Server heruntergeladene Sample funktioniert auf dem Anwendercomputer solange nicht, bis es entschlüsselt wird. Der in diesem Fall verwendete Entschlüsselungs-mechanismus ist ebenfalls in dem ersten Trojaner-Downloader enthalten, mit dem die Schadsoftware zunächst heruntergeladen und dann entschlüsselt wird, um den Anwendercomputer angreifen zu können:

Nun wird der Unterschied deutlich: Zwar handelt es sich um dieselbe Datei, aber nach der Entschlüsselung ist sie als standardisiertes Ausführungsprogramm (PE-Datei) zu erkennen und kann zur Infizierung des Opfercomputers eingesetzt:

Dieses spezielle Sample wurde von Kaspersky Anti-Virus als Trojan-Banker.Win32.Banker.aumz erkannt und konzentriert seine Angriffe auf die Kunden der drei größten Banken Brasiliens.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.