Neuer Cerber: Tor2Web-Proxies, Google-Redirects

Seit der vergangenen Woche beobachtet Cisco eine Kampagne, die auf die Verbreitung einer neuen Cerber-Variante mit Hilfe von Google-Redirects und Tor2Web-Proxies abzielt. Nach Angaben der Forschungsabteilung Talos setzen die Verbreiter dieses Verschlüsselungsschädlings normalerweise auf den Versand von makellos gestalteten Spam-Mails mit schädlichem Anhang.

„Diese Kampagne zeichnet sich dadurch aus, dass die Mails keinen Anhang haben, recht klein und im Ton äußerst lakonisch gehalten sind“, schreiben die Forscher im Blog. Laut Talos erinnert die neue Spam-Kampagne zugunsten von Cerber in gewisser Weise an die Bemühungen der Locky-Verbreiter, die die Verwendung von Skript-Dateien für die Auslieferung dieses Erpressers bevorzugen.

Talos charakterisiert die laufende Cerber-Kampagne als „potentiell neuen Schritt in der Evolution der Verbreitungsmethoden von Ransomware“, die aktiv Tor und das Darkweb zum Verbergen einer Attacke und zum Vermeiden von Abwehrreaktionen verwenden.

Bei Cisco hat man festgestellt, dass die Verbreiter von Cerber 5.0.1 auf Anhänge verzichten und URL-Spam einsetzen. In der schädlichen Mail wird der Empfänger aufgefordert, auf einen Link zu klicken, um eine Datei aufzurufen, die angeblich für ihn interessante Informationen enthält – witzige Fotos, Einzelheiten zu Bestellungen oder Transaktionen oder die Bestätigung einer Kreditvergabe.

„Mit einem Klick auf den Hyperlink landet das Opfer auf einem Google Redirect, der (den Browser) auf ein schädliches Word-Dokument umleitet, welches sich im Darkweb befindet“, erklärt Nick Biasini von Cisco Talos. „Da für den Eintritt ins Darkweb der Tor-Browser benötigt wird, haben die Organisatoren des Angriffs die Google-Redirects mit dem Proxy-Service Tor2Web verknüpft.“

Die Verwendung von Tor2Web ermöglicht es den Angreifern, ihre Dateien im Darkweb zu platzieren, wo sie nur schwer zu finden und zu blockieren sind. Die Forscher wiesen darauf hin, dass die „Verwendung von Proxy-Services wie Tor2Web den Zugang zum Netzwerk Tor gewährleistet, ohne dass eine lokale Installation eines Tor-Clients auf dem System des Opfers erforderlich ist.“

„Wir haben schon häufiger beobachtet, dass sich Ransomware das anonyme Netzwerk Tor zunutze macht“, kommentiert Biasini. „Doch normalerweise wird das Netz für die Kommunikation mit den C&C-Servern und für die Übermittlung der Warnungen an das Opfer verwendet, einschließlich Lösegeldforderung und Instruktionen zum Gebrauch von Bitcoin-Wallets. Die neuste Cerber-Variante (5.0.1) ist deswegen für Forscher interessant, weil die gesamte schädliche Aktivität, die mit dem Schädling in Verbindung steht, im Netzwerk Tor untergebracht ist.“

Mit dem Auftreten von Cerber 5.0.1 werden seine früheren Erscheinungsformen und Techniken aber nicht abgeschafft. Biasini zufolge wird die überwiegende Mehrheit der Vertreter dieser Familie mit traditionellen Methoden verbreitet: über das Exploit-Pack RIG und Spam-Anhänge. „Diese Kampagne ist daher wichtig, weil sie den Widersachern von Cerber signalisiert, dass eine neue Etappe in der Evolution dieses Schädlings begonnen hat.“

Der Verschlüsselungsschädling Cerber zeichnet sich in erster Linie dadurch aus, dass er seine Forderungen laut aussprechen kann. In freier Wildbahn wurde er erstmals im Februar entdeckt und zu dem Zeitpunkt wurde er zumeist mit Hilfe des Exploit-Packs Magnitude oder Nuclear verbreitet. Im Mai registrierten die Beobachter von FireEye einen steilen Anstieg der Cerber-Spam-Menge, von Botnets ausgehend, die früher zur Verbreitung des Bankschädlings Dridex benutzt wurden. Im August erschien eine Cerber-Version, die per Franchise verbreitet wurde. „Seit einigen Monaten verändert Cerber fortwährend seine Taktik und entwickelt sich schnell weiter“, konstatiert Biasini.

Nach Angaben der Forscher ist in das Word-Dokument, das in der laufenden Cerber-Kampagne eingesetzt wird, schädliches Makros integriert. „Wenn das Opfer das schädliche Word-Dokument öffnet und Makros aktiviert, so setzt der Downloader den Windows Command Processor ein, um Powershell aufzurufen, das dann (unter Verwendung von Tor2Web) die eigentliche Cerber PE32-Datei lädt und ausführt“, heißt es bei Talos.

Cerber 5.0.1 fordert ein Lösegeld in Höhe von 1,4 Bitcoins ((1.000 Dollar). Kommt das Opfer der Forderung nicht innerhalb einer Woche nach, verdoppelt sich die Summe.

„Die jüngste Schadkampagne hat gezeigt, dass Bedrohungen auf Grundlage von Erpresser-Software sich fortwährend weiterentwickeln und immer mächtiger werden“, schreiben die Forscher. „Der Infektionsprozess wird mit der Zeit immer komplexer, die Autoren der Attacke probieren neue Methoden aus, wobei sie versuchen, die Erkennung zu vermeiden und die Analyse zu erschweren.“

Um die Risiken zu minimieren, empfiehlt Talos, den gesamten Tor2Web- und Tor-Traffic im Unternehmensnetzwerk zu blockieren: „Organisationen müssen abwägen, wie dringend sie Tor und Tor2Web für ihre Geschäftstätigkeit benötigen und ob ihre Nutzung die potentiellen Risiken rechtfertigt, denen sie die Nutzer des Netzes dadurch aussetzen.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.