News

Malware in der Cloud

Die Nutzung aller Arten von IT-Dienstleistungen auf Basis des Cloud-Computing gewinnt immer mehr an Relevanz, was die Produktivität steigert und die Notwendigkeit, ein eigenes komplexes System einrichten zu müssen, verringert. Vor allem die IT-Branche greift aktiv auf diese Technologie zurück. Allerdings reagierten Malware-Schreiber noch schneller bei der missbräuchlichen Verwendung dieser virtuellen Infrastruktur für ihre illegalen Zwecke.
In der Vergangenheit ließen sich dafür zahlreiche Beispiele beobachten: die Ausnutzung von Twitter als Kommunikationskanal für ein Botnetz, die Nutzung von Amazon EC2 zum Hosten von C&Cs oder die missbräuchliche Verwendung von Werbekanälen zur Verbreitung von Schadcode. Heute werden wir uns anhand eines Samples anschauen, auf welche Weise mit einem Schadprogramm unter Verwendung dieser Dienstleistung maximaler Profit – bei gleichzeitig minimalen Auswirkungen auf den Opfercomputer – erzielt wird.

Unser Sample gehört zu der Trojan-Dropper.Win32.Drooptroop Familie, die mehr als 7000 Varianten aufweist. Es wurde von Kaspersky Internet Security als Trojan-Dropper.Win32.Drooptroop.jpaerkannt, und der Höhepunkt seiner Aktivität wurde um den 6. Dezember, vornehmlich in den USA, beobachtet.

Dieses Sample wird durch eine E-Mail-Nachricht mit einem Link zu einer Rapidshare-Datei verbreitet:

hxxp://rapidshare.com/files/4XXXXXXX0/gift.exe

Indem es sich vorweihnachtliche Werbekampagnen zunutze macht, wird die Binärdatei als „gift.exe“ bezeichnet. Obwohl höchst verdächtig, wird er von den meisten Filtern aus zweierlei Gründen nicht als bösartig erkannt: Einerseits befindet sich der binäre Code nicht in dem Nachrichtenkörper, und außerdem handelt es sich bei der URL durchaus um eine legitime Domäne. Wir konnten mehr als 1000 Infektionen ausmachen, bei denen diese Methode zur Verbreitung des Samples eingesetzt wurde.

Das Sample verwendet die externe Infrastruktur jedoch mehr als nur einmal. Ist der Computer einmal infiziert, schleust Drooptroop.jpa Code in spoolsv.exe ein und unterbricht die Netzwerkfunktionen des Browsers, womit letztendlich die Suchanfragen des Nutzers gekapert werden.

Mit dieser Vorgehensweise betreibt Drooptroop da legitime Suchanfragen umgeleitet werden:

GET
/click.php?c=eNXXXXXSA HTTP/1.1

Host:
64.111.xxx.xxx

User-Agent:
Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3

Accept:
text/html,applicationxhtml+xml,applicationxml;q=0.9,*/*;q=0.8

Accept-Language:
es-es,es;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding:
gzip,deflate

Accept-Charset:
ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive:
115

Connection:
keep-alive

Referer: hxxp://wwwxxx.com/go/beXXXX4

Diese Abrechnungsprogramme werden regelmäßig durch Schadsoftware manipuliert. Weiterhin leitet dieser maligne Code Nutzer auf die Sites gefälschter AV-Sicherheitslösungen um:

Interessant ist, wie alles im Browser dargestellt wird. Mit JavaScript verschleiert wird der Explorer simuliert, so dass während der Scaring-Phase weitere Binärdateien auf den Rechner geladen werden.

An diesem Punkt werden Sie wahrscheinlich gerne Ihre Kaspersky Internet Security Sicherheitslösung starten wollen, um Ihr System zu säubern.

Zusammenfassend lässt sich sagen, dass als Verbreitungsmechanismus ein Remote-Dienst für Filesharing genutzt, zur Gewinnabschöpfung mit der Malware Klickbetrug betrieben und die gefälschte AV-Software im Browser angezeigt wurde. Dennoch benötigt der Schadcode für die Infektion immer noch Ihren Computer – vergessen Sie also nicht, sich entsprechend zu schützen.

Malware in der Cloud

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach