Bugs in Zeus-Kampagne

Kommt Ihnen die folgende Malware-Kampagne bekannt vor?

Richtig, es ist Zeus (Zbot). Wenn Ihr System vollständig gepatcht ist, und Sie auf den Link in der Nachricht klicken, wird die Binärdatei nicht auf Ihren Computer geladen. Ein spezielles PHP-Skript auf sddghdskfgjr.cz.cc gibt sie nicht frei und Sie erhalten lediglich eine Fehlermeldung. Die Kriminellen verwenden Standard-Filterung für die anti-automatisierte Malware-Sammlung.

Die erwähnte .cc-Domain ist zweifach mit zwei verschiedenen Kurz-URL-Services verkürzt. Die erste ist http://3cm.kz/. Entgegen der offiziellen Aussage des (legitimen) Services ähnelt die merkwürdige Zeichenzusammenstellung sehr dem Jargon der russischsprachigen Cyberkriminellen “Short your beast”:

Ich habe einen interessanten “Bug” in dem schädlichen .php-Skript auf der .cc-Domain entdeckt. Geht man auf den Kurzlink mit irgendeinem zusätzlichen Sonderzeichen am Ende, erhält man – selbst wenn es sich um dasselbe System handelt und dieses komplett gepatcht ist – die Binärdatei wieder und wieder. Klickt man beispielsweise nicht auf http://3cm.kz/example, sondern fügt am Ende noch ein http://3cm.kz/example+ oder http://3cm.kz/example* oder irgendein anderes Sonderzeichen an, so erhält man für jedes einzelne Zeichen je einmal die Binärdatei. Ein Sonderzeichen pro einem neuen Download. Der zweite Kurz-URL-Service, den die Cyberkriminellen verwendeten, ist http://shortn.me

Guckt man sich die Statistik an, wie viele Anwender jeweils auf die Links geklickt haben, stellt man fest, dass es eine große Differenz zwischen der ersten und der zweiten Kurz-URL gibt:


(Klicks auf 3cm – nur 24 Klicks)

(Klicks auf Shortn – 200 Klicks)

Nicht besonders viele Klicks, doch wir sollten bedenken, dass es sich hierbei in erster Linie um eine zielgerichtete Attacke handelt und dass die Auswirkungen recht groß sind. In diesem Fall geht es weniger um Quantität als um Qualität.

Auf der anderen Seite zeigt der Unterschied in der Klickhäufigkeit, dass die Kriminellen den Shortnme-Link ganz allgemein für viele Ziele nutzen, während der Shortlink von 3Cm
eigens für jedes Ziel (jedes Unternehmen) einzeln erstellt wurde. Auf diese Weise können die Cyberkriminellen die Infizierung von jedem einzelnen Ziel besser verfolgen.

Im Augenblick des Downloads des schädlichen Samples wurde es von UDS (Wolken-Technologie) von Kaspersky entdeckt und wird nun als Trojan-Spy.Win32.Zbot.bvmv detektiert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.