Malware in der Cloud

Die Nutzung aller Arten von IT-Dienstleistungen auf Basis des Cloud-Computing gewinnt immer mehr an Relevanz, was die Produktivität steigert und die Notwendigkeit, ein eigenes komplexes System einrichten zu müssen, verringert. Vor allem die IT-Branche greift aktiv auf diese Technologie zurück. Allerdings reagierten Malware-Schreiber noch schneller bei der missbräuchlichen Verwendung dieser virtuellen Infrastruktur für ihre illegalen Zwecke.
In der Vergangenheit ließen sich dafür zahlreiche Beispiele beobachten: die Ausnutzung von Twitter als Kommunikationskanal für ein Botnetz, die Nutzung von Amazon EC2 zum Hosten von C&Cs oder die missbräuchliche Verwendung von Werbekanälen zur Verbreitung von Schadcode. Heute werden wir uns anhand eines Samples anschauen, auf welche Weise mit einem Schadprogramm unter Verwendung dieser Dienstleistung maximaler Profit – bei gleichzeitig minimalen Auswirkungen auf den Opfercomputer – erzielt wird.

Unser Sample gehört zu der Trojan-Dropper.Win32.Drooptroop Familie, die mehr als 7000 Varianten aufweist. Es wurde von Kaspersky Internet Security als Trojan-Dropper.Win32.Drooptroop.jpaerkannt, und der Höhepunkt seiner Aktivität wurde um den 6. Dezember, vornehmlich in den USA, beobachtet.

Dieses Sample wird durch eine E-Mail-Nachricht mit einem Link zu einer Rapidshare-Datei verbreitet:

hxxp://rapidshare.com/files/4XXXXXXX0/gift.exe

Indem es sich vorweihnachtliche Werbekampagnen zunutze macht, wird die Binärdatei als „gift.exe“ bezeichnet. Obwohl höchst verdächtig, wird er von den meisten Filtern aus zweierlei Gründen nicht als bösartig erkannt: Einerseits befindet sich der binäre Code nicht in dem Nachrichtenkörper, und außerdem handelt es sich bei der URL durchaus um eine legitime Domäne. Wir konnten mehr als 1000 Infektionen ausmachen, bei denen diese Methode zur Verbreitung des Samples eingesetzt wurde.

Das Sample verwendet die externe Infrastruktur jedoch mehr als nur einmal. Ist der Computer einmal infiziert, schleust Drooptroop.jpa Code in spoolsv.exe ein und unterbricht die Netzwerkfunktionen des Browsers, womit letztendlich die Suchanfragen des Nutzers gekapert werden.

Mit dieser Vorgehensweise betreibt Drooptroop da legitime Suchanfragen umgeleitet werden:

GET
/click.php?c=eNXXXXXSA HTTP/1.1

Host:
64.111.xxx.xxx

User-Agent:
Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3

Accept:
text/html,applicationxhtml+xml,applicationxml;q=0.9,*/*;q=0.8

Accept-Language:
es-es,es;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding:
gzip,deflate

Accept-Charset:
ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive:
115

Connection:
keep-alive

Referer: hxxp://wwwxxx.com/go/beXXXX4

Diese Abrechnungsprogramme werden regelmäßig durch Schadsoftware manipuliert. Weiterhin leitet dieser maligne Code Nutzer auf die Sites gefälschter AV-Sicherheitslösungen um:

Interessant ist, wie alles im Browser dargestellt wird. Mit JavaScript verschleiert wird der Explorer simuliert, so dass während der Scaring-Phase weitere Binärdateien auf den Rechner geladen werden.

An diesem Punkt werden Sie wahrscheinlich gerne Ihre Kaspersky Internet Security Sicherheitslösung starten wollen, um Ihr System zu säubern.

Zusammenfassend lässt sich sagen, dass als Verbreitungsmechanismus ein Remote-Dienst für Filesharing genutzt, zur Gewinnabschöpfung mit der Malware Klickbetrug betrieben und die gefälschte AV-Software im Browser angezeigt wurde. Dennoch benötigt der Schadcode für die Infektion immer noch Ihren Computer – vergessen Sie also nicht, sich entsprechend zu schützen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.