Neue ZeuS-Kampagne mit Beteiligung von Neutrino

Die Forscher des multinationalen Unternehmens PricewaterhouseCoopers (PwC) haben eine neue, schwer zu detektierende Variante des Bankers ZeuS entdeckt, die den Anwendern mit Hilfe des Exploit-Packs Neutrino zugespielt wird.

Laut Aussage von Stephen Ramage, der im Blog von PwC eine kurze Beschreibung dieser Entdeckung veröffentlichte, wird bei erfolgreichem Einsatz eines Exploits von dem Forum sells-store[.]com die ausführbare Zieldatei acez.exe auf den Rechner des Opfers geladen. Eine auf Malwr.com durchgeführte Analyse hat gezeigt, dass dieser Schädling ebensolche Mutexes erzeugt wie auch ZeuS. Im Rahmen der Untersuchung hat er sich für den Autostart angemeldet, Identifikationsdaten der infizierten Maschine gesammelt und versucht, Hooks von Windows-Funktionen zu entfernen, die mit Hilfe der Cuckoo Sandbox überwacht wurden.

Mit Stand vom 8. Juni wurde der schädliche PE32, der im Rahmen dieser Neutrino-Kampagne geladen wurde, schlecht von den AV-Lösungen auf der Virus Total-Liste detektiert. Wie Ramage herausfand, wurde die Domain, von der der schädliche Download erfolgt, erst vor kurzem registriert, und zwar am 1. Juni. Laut WhoIs ist der Domain-Inhaber das chinesische Unternehmen Wuxi Yilian LLC. Der Forscher versäumte nicht darauf hinzuweisen, dass dieser Registrant auch mit einer Reihe von Domains in Verbindung steht, die für Spam-Versendungen und Betrugsschemata verwendet werden.

Der Steuerungsserver, mit dem der Banktrojaner kommuniziert, ist auf der Domain stat777-toolbarueries-google[.]com untergebracht, die ebenfalls absolut neu und auf den Namen Wuxi Yilian LLC registriert ist. In der populären Datenbank ZeuS Tracker ist diese Domain aktuell nicht enthalten, obgleich sie früher zur Verteilung von Updates und Aggregation von Daten gedient hat, die von diesem Schädling gestohlen wurden. Nach Angaben von Abuse.ch (Betreiber von ZeuS Tracker), wurde diese C&C-Domain am 26. Mai aus dem Service genommen; allem Anschein nach haben die Betreiber die Registrierung nach diesem Datum erneuert. Die Daten von WhoIs, die im Blog von PwC aufgeführt sind, bestätigen dies vollständig.

Ramage veröffentlichte zudem simple Signaturen des neu erschienenen ZeuS und seines Steuerungszentrums für die Intrusion Detection Systeme Snort und Suricata.

Statistik: Zum gegenwärtigen Zeitpunkt befinden sich in der Datenbank von ZeuS Tracker insgesamt 733 C&C-Server von ZeuS, von denen 287 aktiv sind.

Quelle: PWC

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.