JavaScript-Erpresser-as-a-Service

Malware-as-a-Service ist schon lange nichts Neues mehr. Im Darknet werden ständig nicht nur schädliche Tools, sondern auch die entsprechenden Dienstleistungen zur Steuerung und Administration sowie Technischer Support für Bank-Trojaner, Exploit-Packs und so weiter beworben.

In den ersten Tagen des neuen Jahres veröffentlichten Forscher die Analyseergebnisse eines neuen RaaS-Services (Ransomware-as-a-Service, Erpressersoftware als Dienstleistung also), deren Gegenstand ein Verschlüsselungsschädling ist, der unter Verwendung von JavaScript-Technologien erstellt wurde. Ransom32 wird als Download von einem Web-Server angeboten, der sich im Netz Tor verbirgt; um den Dienst zu abonnieren, muss man lediglich eine Bitcoin-Adresse für den Erhalt der Einnahmen durch die Erpressung angeben.

Dieser Schädling wurde mit Hilfe der legitimen Plattform NW.js erstellt; er ist in der Lage, Dutzende Dateitypen ausfindig zu machen und zu verschlüsseln und er fordert Lösegeld in Kryptowährung. Die Autoren von Ransom32 erhalten dabei 25% Kommission von jeder Transaktion.

Den Abonnenten des RaaS-Services wird zudem eine Steuerungsoberfläche zur Verfügung gestellt, die es ermöglicht, die Mitteilungen, die dem Infektionsopfer angezeigt werden, kundenspezifisch anzupassen, die Lösegeldsumme festzulegen, den Bildschirm des infizierten Computers zu blockieren, die Auslastung der CPU beim Verschlüsselungsprozess zu verringern und die Stillstandzeit festzulegen. Hier kann sogar eine Statistik erstellt werden zur Gesamtzahl der Installationen, zur Zahl der Zahler und der Gesamteinnahmen in Bitcoin.

Die ersten Berichte über Ransom32 erschienen in den Foren von BleepingComputer; das hatte zur Folge, dass eins der Samples bei Emsisoft analysiert wurde. Nach Angaben des Forschers Fabian Wosar ist die zu Untersuchungszwecken heruntergeladene Datei sehr groß (22 MB), was für einen verschlüsselnden Erpresserschädling sehr ungewöhnlich ist. Der Schädling wurde als WinRAR-Archiv umgesetzt, das mehrere Dateien enthält, darunter eine ausführbare Chromium-Datei, die als Chrome getarnt war. Tatsächlich handelt es sich aber um eine NW.js-Anwendung, die sowohl den schädlichen Code als auch seine Ausführungsumgebung enthält.

Bemerkenswert ist auch, dass die Plattform NW.js die Erstellung von JavaScript-Apps für Desktops nicht nur für Windows ermöglicht, sondern auch für Mac OS X und Linux. „JavaScript wird normalerweise streng in der Sandbox isoliert und hat keine reelle Möglichkeit, mit dem System in Kontakt zu treten, unter dem es läuft“, erklärt Wosar. „NW.js bietet mehr Freiheiten bezüglich der Interaktion mit dem Betriebssystem und es ermöglicht JavaScript fast alles das zu tun, was „normale“ Programmiersprachen wie C++ oder Delphi auch können. Für den Entwickler ist das ein großer Vorteil, da er seine Web-Anwendung relativ einfach in eine Desktop-Anwendung umwandeln kann. Für Entwickler gewöhnlicher Desktop-Apps ist NW.js deshalb nützlich, da ein und dasselbe JavaScript auf unterschiedlichen Plattformen ausgeführt werden kann. So braucht man eine NW.js-Anwendung nur einmal zu schreiben und kann sie sofort auf Windows, Linux und MacOS X anwenden.“

Zum gegenwärtigen Zeitpunkt greift Ransom32 laut Emsisoft nur Windows-Systeme an, doch mittels einiger Modifikationen könnte es sich in eine Plattform-übergreifende Bedrohung verwandeln.

Was sein Verhalten betrifft, so ähnelt das neue Blockier-Programm anderen Schädlingen dieser Klasse. Zu dem Gesamtpaket gehört auch ein Tor-Client, den Ransom32 für die Verbindung mit dem C&C-Server und der Bitcoin-Wallet nutzt, in die die Lösegelder der Erpressungsopfer fließen. Dieselbe Verbindung wird auch für den Austausch der Chiffrierungsschlüssel verwendet.

„Der RaaS-Service Ransom32 ist deswegen gefährlich, weil JavaScript und HTML Plattform-übergreifende Technologien sind, die ebenso unter Mac und Linux wie auch auf Windows-Systemen laufen“, warnt Lawrence Abrams von BleepingComputer. „Und das bedeutet, dass die Entwickler von Ransom32 durch einige geringfügige Veränderungen problemlos NW.js-Pakete für Linux und Mac erstellen können. Bisher gibt es noch keine Hinweise auf eine derartige Transformation, doch sie erfordert keine besonderen Anstrengungen. Dass Erpresser-Software auch für Nicht-Windows-Systeme erscheinen wird, ist unausweichlich. Die Nutzung von Plattformen in der Art von NW.js beschleunigt diesen Prozess nur.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.