Mögliche neue GameOver-Variante entdeckt

Etwas mehr als ein Monat ist vergangenen, seitdem das FBI und Europol ein Botnetz auf der Grundlage von GameOver effektiv unschädlich machten, indem sie die Kontrolle über die Befehlsinfrastruktur übernahmen. Neue Erkenntnisse zwangen die Forscher nun allerdings dazu, einen möglichen Versuch der Wiederbelebung des gefährlichen Bankentrojaners einzuräumen.

In der vergangenen Woche deckten die Experten von Malcovery Security eine neue Spam-Kampagne auf, die auf die Verbreitung eines Schädlings abzielt, der allem Anschein nach den Binär-Code von GameOver verwendet. Die schädlichen Mails kommen in den meisten Fällen als Benachrichtigungen von Finanzorganisationen daher, unter anderem von der M&T Bank und NatWest. Alle diese Fälschungen sind mit einem ZIP-Anhang versehen, in dem sich eine ausführbare SCR-Datei verbirgt.

„Nach Öffnen des Anhangs und der Aktivierung der Payload begann das Schadprogramm gewisse Websites aufzurufen, wobei es einen Domain-Generierungsalgorithmus nutzte“, kommentieren Brendan Griffin und Gary Warner, Experten bei Malcovery, die die Analyse des Schädlings durchgeführt haben. „Auf dieses Weise sollte eine Verbindung mit dem Server hergestellt werden, um von diesem weitere Befehle entgegenzunehmen. Der Schädling lässt sich bei weitem nicht in jeder Sandbox ausführen, da er in der Lage ist, die Anwesenheit von VMWare Tools zu erkennen. Andere Sandboxes erkennen eine erfolgreiche Verbindung nicht: Für die Generierung der neuen willkürlichen Domain braucht der Schädling zwischen 6 und 10 Minuten; innerhalb dieser Zeit schafft er es nicht nur, sich zu starten, sondern auch Web-Einschleusungen vom Steuerungsserver zu laden.“

Obgleich der frühere GameOver ebenfalls einen DGA verwendete (als Reservemechanismus für den Fall, dass die Verbindung mit den Peers unterbrochen wird), ist die Liste potentieller C&C-Domains bei der neuen Version anders, da sich die alter Infrastruktur nach wie vor unter der Kontrolle der oben genannten Strafverfolgungsbehörden befindet. „Die neue DGA-Liste hat nichts mit dem ursprünglichen GameOver zu tun, doch sie ist dem DGA überaus ähnlich, den dieser verwendete“, unterstreichen die Experten. „Der neue Schädling hat anscheinend nicht nur den Domain-Generierungsalgorithmus geändert, sondern auch die Netzorganisation – weg von р2р hin zu C2-Hosts, die über fast-flux zugänglich sind.“

Laut Aussage der Experten zeigte der neue Trojaner im Laufe der Analyse viele charakteristische Züge, die auch für den ursprünglichen GameOver typisch waren. „Malcovery ist es gelungen, eine Reihe von Command and Control-Hosts zu identifizieren, die unserer Meinung nach mit dem Versuch der Wiederbelebung des GameOver-Botnetzes zu tun haben“, schreiben Griffin und Warner weiter. „Nach der Verbindung mit irgendeinem dieser Knoten legte der Schädling ein Verhalten an den Tag, das typisch für GameOver ist, inklusive der URL-Liste und der Liste von Substrings, die für den Download der Web-Einschleusungen, Form-Grabs und anderer Informationen stehlender Komponenten benutzt wird.“

Die Population des neuen Schädlings konnte bisher noch nicht genau bestimmt werden, obgleich das dänische CSIS beispielsweise am 11. Juni weniger als 1.000 Infektionen registriert hatte. Die Experten von SecureWorks fingen den Traffic an einer der mit dem DGA generierten Domains ab und zählten innerhalb von 12 Stunden 177 infizierte Rechner, von denen die meisten in den USA, Indien und Singapur registriert waren. SecureWorks ergänzte zudem einige interessante Fakten zu den Ergebnissen von Malcovery, indem das Unternehmen feststellte, dass die Spam-Versendungen, die auf die Ansiedlung der neuen Spielart von GameOver abzielten, über das Botnetz Cutwail realisiert wurden. Die an das C&C zu sendenden Daten werden mit RSA verschlüsselt, und die via fast-flux erreichbaren Server selbst werden in einem gemieteten Proxy-Netzwerk gehostet, das auch von den Betreibern von Rerdom, KINS (VM-Version von ZeuS), Pony Loader und Andromeda benutzt wird. Dieses Proxy-Netz zählt zwischen einigen hundert und einigen tausend aktiven Hosts, die sich in der Mehrzahl auf dem Gebiet Russlands und der Ukraine befinden.

Wie dem auch sei – wie Malcovery anmerkt, „zeugt die Neuentdeckung davon, dass die kriminellen Elemente, die für die Verbreitung von GameOver verantwortlich sind, keinesfalls gewillt sind, ein Haken an dieses Botnetz zu machen, obgleich sie eine der umfangreichsten Zerschlagungsaktionen in der Geschichte über sich ergehen lassen mussten.“

Quellen: Threatpost
Malcovery

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.