Neue Welle Cerber-Spam

Cerber greift wieder an: Derzeit wird dieser gefährliche Verschlüsselungsschädling im Rahmen der aggressiven Spam-Kampagne Blank Slate in Umlauf gebracht, deren Autoren die legalen Dienste von Hosting-Providern nutzen, um Schadprogramme zu verbreiten.

Nach Angaben der Beobachter vom ISC SANS wurden diese Spam-Versendungen bis vor kurzem dazu genutzt, die Erpresserprogramme Sage 2.0 und Locky auf die Computer der Nutzer zu transportieren, zum gegenwärtigen Zeitpunkt ist die hauptsächliche Payload von Blank Slate der berühmt-berüchtigte Schädling Cerber.

Nach den Worten des IT-Sicherheitsforschers Brad Duncan wurde Blank Slate im Juli letzten Jahres als separate Kampagne identifiziert. Seither wurden einige Versuche unternommen, sie zu eliminieren, doch Blank Slate überlebte sie alle, da die Autoren der Kampagne immer wieder neue Server zur Unterbringung der Schadsoftware bei den Hosting-Providern aus der Taufe hoben.

Ihren Namen (blank slate – „unbeschriebenes Blatt“) erhielt die Kampagne aufgrund der Tatsache, dass sowohl in der Betreff-Zeile als auch im E-Mail-Körper keinerlei Text enthalten ist. Die E-Mail enthält lediglich eine angehängte zip-Datei, in der sich ein ebensolches Archiv mit JavaScript und einem schädlichen Word-Dokument befindet. Nach Meinung Duncans sind solche Mails eigentlich viel zu auffällig, die Cyberbetrüger sind allem Anschein nach jedoch überzeugt davon, dass das ausreichend ist, um die Schutzlösungen erfolgreich auszutricksen.

Die Zustellung des Schädlings verläuft in diesem Fall nach Schema F: Wird die JavaScript-Datei mit einem Doppelklick geöffnet oder wird Makros im Dokument aktiviert, so wird Cerber (vom Server) auf den Rechner geladen. Im Laufe des letzten Jahres ist dieser Erpresserschädling zu einer wahren Bedrohung geworden, die fortlaufend verbessert wurde, indem neue Tricks erprobt wurden. Zu Beginn der letzten Woche teilten die Forscher von Deep Instinct beispielsweise mit, dass die aktuelle Modifikation von Cerber erfolgreich die Detektion umgeht, und zwar mit Hilfe einer neuen Infrastruktur, die die Verwendung eines NSIS-Installers ermöglicht (dieses Installationssystem verwendet Windows).

Beim ISC SANS hat man festgestellt, dass die Cerber-Betreiber immer gieriger werden: Während sie früher für den Dechiffrierungsschlüssel 500 Dollar verlangt haben, so fordern sie jetzt das Doppelte (1 Bitcoin).

Blank Slate unterscheidet sich von anderen Kampagnen durch eine gut eingestellte Rotation der Hosting-Provider, wodurch die Lebensdauer der Schadserver verlängert werden kann. Im Februar identifizierten die Forscher von Palo Alto Networks 500 Domains, die mit dieser Spam-Kampagne in Verbindung stehen. „Diese schädlichen Domains wurden schnell blockiert, doch die Autoren von Blank Slate registrierten umgehend neue und gaben so den Missbrauchszyklus legitimer Hosting-Provider-Dienste preis“, schreibt Duncan.

Gegenüber Threatpost erklärte der Forscher: „Ein Antrag auf Erstellung eines Accounts bei einem Hosting-Provider ist schnell gestellt. Der Cyberverbrecher muss dabei lediglich eine gültige E-Mail-Adresse, Telefonnummer und eine Kreditkartennummer angeben. Das gibt ihm das Recht, neue Server zu erstellen. Gibt es Klagen, so schaltet der Hosting-Provider die Server ab, doch die Betrüger richten sich neue ein.“

Die Kosten für die Aufrechterhaltung eines solchen Zyklus‘ sind vernachlässigbar. „Ein neuer E-Mail-Account kann kostenlos erstellt werden“, schreibt Duncan. „Einwegtelefone sind günstig und kosten nicht mehr als 20 Dollar.“ Gestohlene Kreditkartennummern sind auf dem Schwarzmarkt für 5 Dollar zu haben.

Palo Alto nimmt an, dass eine Vielzahl von Hosts in die Spam-Versendungen von Blank Slate verstrickt ist, die rund um den Erdball verteilt und – allem Anschein nach – in einem Botnetz vereint sind.

Eine Untersuchung der JavaScript-Datei brachte eine HTTP GET-Anfrage an die Binärdatei des Erpresserschädlings zutage. „Der Post-Infektions-Traffic ähnelte anderen Cerber-Samples aus jüngerer Vergangenheit“, schreibt Duncan im Blog vom ISC SANS. „Zuerst wurde UDP-Traffic auf Port 6892 des infizierten Hosts beobachtet. Danach folgte HTTP-Traffic zu einer Domain, die mit p27dokhpz2n7nvgr beginnt und auf .top endet. Die IP-Adresse für den UDP-Traffic wird ein bis zwei Mal pro Woche geändert (oder häufiger). Die nach der Infektion zu verwendenden HTTP-Domains ändern sich häufiger.“

Die Dechiffrierungsinstruktionen erscheinen laut Duncan in Form dreier verschiedener Dateien auf dem Desktop: Text-Datei, grafische Datei und HTA-Datei. In allen Fällen beginnt der Dateiname mit _READ_THIS_FILE_.

„Die Domains und IP-Adressen, die mit der Kampagne Blank Slate in Verbindung stehen, ändern sich ständig“, schließt Duncan seinen Eintrag im Blog von Palo Alto. „Solange Erpresserprogramme in Umlauf sind, bleiben schädliche Spam-Versendungen eine alltägliche Erscheinung, sowohl zielgerichtete als auch massenhafte.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.