Fobber-Autoren fordern Sicherheitsforscher heraus

Die Autoren von Schadprogrammen versuchen ständig, den Sicherheitsforschern das Leben schwer zu machen, indem sie verschiedene Methoden zur Obfuskation und Verschlüsselung der Kommunikation einsetzen. Laut Angaben von The Register ist der neue Bankentrojaner Fobber ein anschauliches Beispiel für diesen Ansatz.

Fobber basiert auf der zweiten Version des bekannten Schädlings Tinba und wird mit Hilfe des Exploit-Kits HanJuan in Umlauf gebracht. Der Forscher Jerome Segura von Malwarebytes erklärte, dass die Entwickler des Trojaners die Kommunikationskanäle mit den C&C-Servern sowie jede Funktion im Code einzeln verschlüsselt haben, wodurch ein Reverse Engineering äußerst schwierig werde.

„Die Samples, die wir beobachtet haben, versuchen ständig, zufällige Registry-Schlüssel zu öffnen, woraufhin der Schädling eine lange Folge von Sprüngen vollzieht, in dem Versuch so etwas wie einen Kaninchenbau zu schaffen, dessen Verfolgung die Analyse verlangsamt“, schreibt Segura. „Die geladene Binärdatei, die wir Fobber genannt haben, ist in der Lage, wertvolle Accountdaten zu stehlen. Zudem ist sie gegenüber Löschversuchen äußerst widerstandsfähig, da sie selbst sowie auch die Steuerungsserver fortwährend aktualisiert werden.“

„Im Gegensatz zu einem normalen Windows-Programm hat Fobber die Angewohnheit, zwischen verschiedenen Programmen hin- und her zu schalten“, schreibt Segura weiter.

Segura meint, die Autoren würden mit dieser Malware „das Wasser testen“, bevor sie sie in größerem Maßstab verbreiten. Eine Analyse des Schädlings durch „White Hats“ würde die vorsichtigen kriminellen Programmierer zweifellos erzürnen.

Das Schadprogramm wird laut Segura mittels einer grellen Malvertising-Kampagne verbreitet, was überhaupt nicht mit dem Einsatz des geheimen Exploit-Kits HanJuan vereinbar ist, das noch bis Ende letzten Jahres völlig im Verborgenen fungierte und normalerweise nur für prominente und Zero-Day-Attacken eingesetzt wird.
Ebenso unnormal ist die Verwendung einer originalen, gehackten Joomla!-Site zur Platzierung von HanJuan – eine Tatsache, die Segura ausgenutzt hat, indem er den Hosting-Provider für eine weitere forensische Analyse angefragt hat.

„Jeder Fall, in dem HanJuan entdeckt wird, ist interessant, weil das äußerst selten vorkommt. Wie üblich, greift das Exploit-Kit nur die Programme an, die die höchste Rendite versprechen: Internet Explorer und [Adobe] Flash Player“, erklärt Segura.

Fobber versucht außerdem, den Analysten einen weiteren Knüppel zwischen die Beine zu werfen, indem er die traditionellen Methoden der Prozessbeobachtung meidet. Stattdessen erstellt er eine Art von Kontrollsummen, die aus den Namen der Windows-Prozesse errechnet werden, inklusive Chrome, Internet-Explorer und Firefox, die daraufhin mit den hartcodierten Kontrollsummen der Prozesse abgeglichen werden.

Quelle: The Register

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.