Am vierten März stellten wir fest, dass unser Produkt Linux Mail Security eine große Anzahl von ungewöhnlichen Mitteilungen blockiert. Alle Mails enthielten ein und denselben Anhang im Format PDF (MD5: 97b720519aefa00da58026f03d818251), allerdings wurden sie von unterschiedlichen E-Mail-Adressen verschickt.
Die E-Mails waren in deutscher Sprache verfasst, und ein großer Teil von ihnen stammte von deutschen IP-Adressen. Die untenstehende Karte zeigt die geografische Verteilung dieser Adressen:
Die im Header der Mitteilungen angezeigten Computernamen lauteten etwa Andreas-PC oder Kerstin-Laptop (Namen geändert). Das zeugt davon, dass die Mails von Heimcomputern deutscher Anwender versendet wurden.
Hier ein Beispiel einer solchen Mail:
Beispiel-Mail
Die Namen der angehängten PDF-Dateien waren nach folgendem Muster aufgebaut Mahnung Name des Empfängers.pdf. Diese Schaddateien enthalten ein Exploit zu der Sicherheitslücke CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). Sie wurden mit Hilfe der Technologie Kaspersky ZETA Shield blockiert und als Exploit.JS.CVE-2010-0188.e detektiert. Es ist nicht einfach, das Exploit zu erkennen, da es unter zwei JavaScript-Ebenen verborgen ist.
Erste Javascript-Ebene
Zweite Javascript-Ebene
Entschlüsselter Shell-Code
Die zweite Ebene ist dem JavaScript sehr ähnlich, das die im letzten Jahr entdeckten Exploits verwendeten, die dem Exploit-Pack BlackHole hinzugefügt wurden. Bei erfolgreichem Einsatz des Exploits wird eine ausführbare Datei mit der Adresse seodirect-proxy.com/adobe-update.exe geladen.
Das so geladene Schadprogramm (MD5: 3772e3c2945e472247241ac27fbf5a16) wird von den Produkten von Kaspersky Lab als Trojan.Win32.Yakes.cngh detektiert. Es enthält Textzeilen in italienischer Sprache (lastoriasiamo, famiglia, badalamenti, impastato), die möglicherweise einen Bezug zur Mafia haben. Es gibt zudem folgende Informationen zu seiner Version preis:
Offensichtlich steht BTP in diesem Fall für italienische Staatsanleihen und Bund für deutsche Staatsanleihen; Spread BTP/Bund ist eine Größe, die den Unterschied in der Rendite zwischen den einen und den anderen ausdrückt.
Beim Start des Schadprogramms wird folgende Fehlermeldung ausgegeben:
Daraufhin installiert sie sich im temporären Verzeichnis unter einem zufällig gewählten Namen (z.B. vlsnekunrn.pre) und versucht eine Verbindung zu zeouk-gt.com herzustellen.
Vergangenheit
Bei Durchsicht der Daten über frühere Infektionen stellten wir fest, dass analoge Versendungen in der Vergangenheit jeweils am 4. und 21. eines Monats verschickt wurden.
Februar 2013
Am 21. Februar blockierten wir eine große Anzahl von E-Mails, die sehr ähnliche Anhänge im Format PDF enthielten. In diesem Fall enthielten die Namen der angehängten Dateien das Wort Rechnung und ein Datum (z.B. Rechnung_201302.pdf oder 2013_02rechnung.pdf). Die Absendercomputer befanden sich in den unterschiedlichsten Ländern, unter anderem in Südafrika, den USA, Australien und Japan. Dieses Mal wurden die im Header angezeigten Computernamen nach dem Zufallsprinzip zusammengestellt (wie z.B. ydopsgf und bxahwdkw). Interessant ist, dass in den Mitteilungsheadern auch Links auf die Domain zeus3.hostwaycloud.com enthalten waren.
Der dechiffrierte Code dieses Exploits in JavaScript war fast identisch mit dem oben gezeigten Beispiel, allerdings wurde das Schadprogramm von mehreren URL-Adressen geladen:
allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe
corcagnani.de/host.exe
kkc-hannover.de/modules/mod_search/helper.exe
capital-success.de/pg/helper.exe
Januar 2013
In der Versendung vom 4. Januar hieß die Schaddatei Rechnung201301.pdf und wurde von den folgenden URL geladen:
kohnle-gros.de/css/styleneu.exe
fairdealshop.co.uk/modules/mod_newsflash/helper.exe
emct.org.uk/downloads/server-stats.exe
November 2012
In der Versendung vom 21. November hieß die schädliche Datei RECHNUNG000201211.pdf und wurde von den folgenden Adressen geladen:
rocketmou.se/stuff/corduroyshop/corduroyshop.exe
coachplay.co.il/mapa/images/mapa.exe
Zukunft
Allem Anschein nach haben wir es hier mit einer hervorragend organisierten Kampagne zu tun, die auch in Zukunft weiterlaufen wird. Daher seien Sie besonders vorsichtig, wenn Sie am 21. März oder 4. April Mahnungen oder Rechnungen erhalten. Allerdings: Die Autoren können natürlich auch jederzeit das Datum ändern, also seien Sie auch an anderen Tagen immer wach