News

Brasilien: Herausforderung durch neue Entschlüsselungstaktik

Vor einiger Zeit habe ich einen Hintergrundartikel darüber geschrieben, wie Bank-Trojaner in Brasilien funktionieren, aber inzwischen ist auch ihre Zeit abgelaufen, so dass die brasilianischen Programmierer nun versuchen, ihre Fähigkeiten zu verbessern und die Komplexität ihrer Methoden zur Infizierung von Computern permanent erhöhen. Ein Beweis dafür ist das Sample, das ich heute bearbeitet habe. Die Betrugsmethode nutzt den herkömmlichen Ansatz:

Versenden einer betrügerischen E-Mail mit einem Link zu einer infizierten Webseite —-> Download und Ausführen des ersten Trojaner-Downloader —-> Download und Installation der Bank-Trojaner

Zwischen den zweiten und den dritten Schritt wird ein (für Brasilien) neues Konzept angewendet, wenn der Trojaner-Downloader die Bank-Trojaner herunterlädt und installiert. Einerseits verbergen die brasilianischen Programmierer den Download-Link unter Verwendung mehrerer Techniken und andererseits entschlüsseln sie nun auch den Bank-Trojaner, der auf das System geladen werden soll.

Erkennt der Anwender z.B. den Link den betrügerischen Link und versucht, die Trojaner dahinter herunterzuladen, wird er in etwa das folgende Bild sehen:

Es handelt sich um eine (speziell entschlüsselte) PE-Datei. Die Programmierer aus Brasilien verwenden diese Technik, um eine automatisierten Malware-Analyse und die Überwachungsverfahren durch AV-Unternehmen zu umgehen. Dieses in dieser Form auf den Server heruntergeladene Sample funktioniert auf dem Anwendercomputer solange nicht, bis es entschlüsselt wird. Der in diesem Fall verwendete Entschlüsselungs-mechanismus ist ebenfalls in dem ersten Trojaner-Downloader enthalten, mit dem die Schadsoftware zunächst heruntergeladen und dann entschlüsselt wird, um den Anwendercomputer angreifen zu können:

Nun wird der Unterschied deutlich: Zwar handelt es sich um dieselbe Datei, aber nach der Entschlüsselung ist sie als standardisiertes Ausführungsprogramm (PE-Datei) zu erkennen und kann zur Infizierung des Opfercomputers eingesetzt:

Dieses spezielle Sample wurde von Kaspersky Anti-Virus als Trojan-Banker.Win32.Banker.aumz erkannt und konzentriert seine Angriffe auf die Kunden der drei größten Banken Brasiliens.

Brasilien: Herausforderung durch neue Entschlüsselungstaktik

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach