Maktub Locker: höflich, ästhetisch, professionell

Mit Verweis auf eine Expertenveröffentlichung warnt Softpedia vor einem neuen, sauber umgesetzten Player auf dem Markt der Verschlüsselungsschädlinge. Die Rede ist von Maktub, was übersetzt aus dem Arabischen so viel heißt wie das Biblische „Es steht geschrieben“. Von seinen Artgenossen hebt er sich positiv ab durch ein tadelloses Englisch, eine korrekte Anrede an die Opfer, eine kunstvoll gestaltete Benutzeroberfläche und ein hohes Niveau des Programmprojekts selbst.

Der neue Schädling wurde vor anderthalb Wochen von Yonathan Klijnsma entdeckt, Senior Threat Intelligence Analyst des niederländischen IT-Sicherheitsunternehmens Fox-IT. Eine allgemeine Beschreibung von Maktub Locker lieferte Lawrence Abrams von BleepingComputer, der dem Schädling ebenfalls auf die Spur gekommen ist und seine Erkenntnisse mit einer Vielzahl von Screenshots ausschmückte: Besonders beeindruckt zeigte sich der Forscher von einer Grafik, die die Cyberkriminellen zur Erstellung einer onion-Site verwenden, allem Anschein nach eine originale, die Designer entlehnten lediglich das Logo. Eine genaue Analyse des Schädlings wurde kurz darauf von Malwarebytes durchgeführt, mit Hilfe der von Klijnsma und dem MalwareHunterTeam bereitgestellten Samples.

Aktuell wird Maktub über Mail-Anhänge verbreitet. Die entsprechende schädliche ausführbare Datei hat die Erweiterung .scr und ist mit einem Icon ausgestattet, das den Anschein erweckt, darunter befände sich ein PDF- oder TXT-Dokument. Um diese Illusion noch zu verstärken, zeigt der Schädling beim Öffnen der Datei ein Word-Dokument an (im Format .rtf), irgendeine „Aktualisierung der Nutzervereinbarung“, und während der Anwender diese studiert, erfolgt im Hintergrund die Verschlüsselung.

Der für die Chiffrierung verwendete AES-256-Schlüssel wird lokal generiert, die codierten Dateien erhalten eine willkürliche, für jedes Opfer einmalige Erweiterung, die zusammen mit dem AES-Schlüssel mit Hilfe eines öffentlichen 2048-Bit-RSA-Schlüssels chiffriert wird, der in den Maktub-Code geschrieben ist (der private Schlüssel liegt bei den Cyberverbrechern). Bei der Suche nach den benötigten Dateien operiert der neue Schädling, ebenso wie viele seiner Artgenossen, mit zwei Listen, und zwar schwarzen (Dateien und Ordner, die nicht angerührt werden dürfen) und weißen Listen (eine Aufstellung erlaubter Erweiterungen). Die Suche erfolgt sowohl auf lokalen Festplatten als auch auf Netzwerkfestplatten und externen Laufwerken.

Interessant ist, dass der Schädling vor Beginn der Chiffrierung die Tastaturbelegung überprüft, und seine Prozesse beendet und von der Verschlüsselung absieht, wenn das Opfer die russische Sprache verwendet. Und noch ein Unterscheidungsmerkmal: Vor der Bearbeitung wird jede Datei komprimiert, vermutlich um so den Verschlüsselungsprozess zu beschleunigen.

Der Chiffrierungsschlüssel wird als Opfer-ID benutzt und in einer html-Datei untergebracht, die in jedem Ordner mit verschlüsseltem Content erstellt wird. Mit Abschluss der Verschlüsselung wird dem Anwender eine Mitteilung mit den Lösegeldforderungen und knappen Zahlungsinstruktionen angezeigt. Die Website mit allen weiteren Informationen befindet sich im Netzwerk Tor und ist über die persönliche ID erreichbar. Sie enthält fünf meisterlich umgesetzte Seiten. Letztere sind, wie die ursprüngliche Lösegeldforderung auch, in englischer Sprache verfasst, und andere Varianten sind nicht verfügbar.

image001

Startseite der onion-Site von Maktub (Quelle: BleepingComputer).

Dem Besucher der Site wird mitgeteilt, dass die Lösegeldzahlung innerhalb von 15 Tagen erfolgen muss, allerdings steigt die Summe alle drei Tage von den ursprünglichen 1,4 Bitcoin (~600 Dollar) auf 3,9 (~1.650 Dollar) bis zum Auslaufen der Frist, obgleich dann keine Garantie mehr besteht, dass der Dechiffrierungsschlüssel tatsächlich noch vorhanden ist. Als Beweis für die Glaubwürdigkeit ihrer Versprechen bieten die Erpresser an, zwei Dateien mit einer Größe von bis zu 200 KB, die das Opfer selbst aussuchen darf, kostenlos zu dechiffrieren.

Eine von Malwarebytes durchgeführte Analyse des Schadcodes hat gezeigt, dass die Virenschreiber zum Schutz ihres Machwerks einen zuverlässigen Codierer benutzen (höchstwahrscheinlich einen kommerziellen) sowie FUD-Tools (um der Entdeckung zu entgehen). Gemäß Aussage der Forscher werden die Maktub-Samples in den ersten Stunden und sogar Tagen der Spam-Kampagne schlecht detektiert.

Und hier noch ein paar Charakteristika von Maktub, zusammengestellt von Malwarebytes: Der Schadcode ist unter mehreren Obfuskationsschichten verborgen und wird in einem dynamischen Speicher verpackt. Die Verschlüsselung über AES erfolgt unter Nutzung der Funktion CryptoAPI, der Kryptographieplattform von Microsoft.

„Maktub Locker wurde ganz klar von Meistern ihres Fachs entwickelt“, schließen die Forscher. „Die umfassende Komplexität des Programms zeugt davon, dass Spezialisten aus verschiedenen Fachgebieten an dem Produkt gearbeitet haben. Absolut alles, von der Verpackung des Codes bis hin zur Umsetzung der Website, alles ist sorgfältig ausgearbeitet.“

Auf der Miniatur ist ein Screenshot der Mitteilung von Maktub mit Lösegeldforderung dargestellt (Quelle: BleepingComputer).

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.