Neuer Trick der Pharma-Spammer: Botnetz als C&C

Die Forscher von Incapsula haben eine groß angelegte Spam-Kampagne aufgedeckt, die die Dienstleistungen der nicht lizenzierten Apotheke Canadian Pharmacy bewirbt. Für die Generierung des Spams benutzen die Cyberkriminellen ein Netz infizierter Sites, das sie über ein Botnetz aus 80.000 kompromittierten Computern steuern. Dabei werden die gesamte Kommunikation, alle Befehle und auch die Payload sorgfältig verschlüsselt, um die Spam-Filter zu umgehen, die mit Schwarzen URL- und Absender-Listen arbeiten.

Strafverfolgungsbehörden und Aufsichtsorgane der Pharmaindustrie kämpfen schon seit langem und nicht ohne Erfolg gegen den organisierten Absatz von illegalen und potentiell gesundheitsschädlichen Medikamenten über das Internet und gegen den freien Handel mit rezeptpflichtigen Präparaten. Zum gegenwärtigen Zeitpunkt wird der Umsatz auf diesem illegalen Markt laut Angaben von Incapsula auf 431 Milliarden Dollar geschätzt. Das illegale Pharmaunternehmen Canadian Pharmacy ist schon seit Langem für seine Aggressivität bekannt; es nimmt regelmäßig die Dienste von Spammern in Anspruch, die im Rahmen von spezialisierten Partnerprogrammen massenhaft Werbung verbreiten.

Vor ungefähr einem Monat registrierten die Schutzlösungen von Incapsula eine starke Zunahme von mit base64 verschlüsselten Anfragen. Eine Analyse hat gezeigt, dass sie alle von einem nicht dokumentierten Botnetz ausgehen, das Befehle an Websites mit einer installierten WSO-Web-Shell liefert – eine PHP-Backdoor, die normalerweise für die Fernsteuerung von Dateien und ausführbarem Code verwendet wird. Nach der Dechiffrierung identifizierten die Forscher drei verschiedene Befehlstypen: Modifizierung der Konfigurationsdateien .htaccess, Einschleusung eines schädlichen PHP-Programms und Empfang der Payload.

Der Befehl zur Einschleusung in .htaccess, der ebenfalls verschlüsselt ist, hatte zum Ziel, einen Redirect zu installieren, von einer nicht existierenden Seite (Fehler 404) auf die Internet-Apotheke des Netzwerks von Canadian Pharmacy. Wie die Experten feststellten, hingen die meisten dieser Interfacepunkte des illegalen Verkaufs mit der TLD-Domain .ru zusammen, obwohl in den meisten Website-Namen das Wort Canadian vorkam (beispielsweise Canadian-Health&Care Mall).

Das auf (verschlüsselten) Befehl vom Botnetz einzuschleusende, maßgeschneiderte PHP-Skript wird von einer entfernten Quelle empfangen und dechiffriert die Payload, auf deren Grundlage es dann die Spam-Mitteilungen generiert. Die Analyse hat gezeigt, dass die Payload vier Parameter enthält: $to_email, $subject, $body und $header (Adresse des Empfängers, Betreff der Mail, Mailtext, Header). Der Versand der Spam-Mails erfolgt mit Hilfe der Funktion mail(), das heißt über den SMTP-Server, der in den Einstellungen der Website vorgegeben ist (in der PHP-Datei der Konfiguration).

Nachdem die Forscher den PHP-Schädling identifiziert hatten, hatten sie die Möglichkeit, die so erhaltene Payload genauer zu untersuchen. Im Laufe eines Monitorings wurden hunderttausende Varianten gefunden, und jede enthielt Werbung – in der Regel für Cialis-Tabletten à 20 Milligramm oder Viagra à 100 Milligramm. Die Holprigkeit der Texte spricht dafür, dass sie automatisiert erstellt wurden. Am meisten erstaunt haben die Experten allerdings die Bemühungen, die unternommen wurden, um die Payload zu verbergen.

Jede Payload ist achtfach mit base64 verschlüsselt, zusätzlich drei Mal für jeden durch eine Pipe (‚|‘) getrennten Parameter. Aufgrund dieser untergeordneten Struktur wurde die neue Spam-Kampagne bei Incapsula auf den Namen B64ryoshka getauft (als Anspielung auf „Matrjoschki“, die russischen, ineinander schachtelbaren Puppen). Alle abgefangenen B64ryoshka-Payloads enthielten einen Link auf eine nicht existierende URL oder eine andere kompromittierte Domain.

So fußt das gesamte betrügerische Schema auf im Duett funktionierenden Websites: Die eine versendet Spam, die andere leitet die Besucher weiter auf die zu bewerbende Internet-Apotheke. Und die Autoren der B64ryoshka-Kampagne verfügen gleich über ein ganzes Netzwerk derartiger „süßer Pärchen“.

Von einem großen Umfang zeugt auch die Zahl der dank der Spam-Kampagne gefundenen Handelsplattformen – insgesamt 51. Laut Incapsula befinden sie sich in China, Malaysia, Vietnam, Indonesien, Frankreich, Rumänien, Russland, Taiwan und in der Ukraine. Mittels einer Analyse der IP-Adressen dieser Sites konnten weitere 1005 aktive Domains gefunden werden, die vermutlich von den Spammern verwendet wurden. Von ihnen nutzen 70,2% russisches Web-Hosting, die übrigen französisches.

Beeindruckt waren die Forscher auch von dem Umfang des Botnetzes, von dem aus die Steuerung des Netzwerks der ausführenden Websites umgesetzt wurde. Innerhalb von zwei Wochen Überwachung der C&C-Kommunikation wurden 86.278 individuelle IP-Adressen identifiziert, die über den gesamten Erdball verteilt sind. Die meisten von ihnen befinden sich in Russland (11,5%), Indonesien und Vietnam (8,7 und 7,9%). Bemerkenswert ist, dass – den Spuren zufolge – die meisten Befehle von Geräten stammten, die Webbrowser benutzen wie Heim-PCs. Die Experten vermuten, dass diese Geräte mittels Angriffen auf Anwendungsebene kompromittiert wurden, beispielsweise mit Hilfe eines schädlichen Browser-Add-Ons. Eine Shodan-Suche erbrachte nur ein paar IP, die mit diesem Botnetz assoziiert werden, so dass es sich bei den Geräten, die dieses Netz bilden, keinesfalls um IoT-Geräte handeln kann.

Die Experten vermuten, dass die B64ryoshka-Kampagne russische Wurzeln hat. Davon zeugt ihrer Meinung nach das Übergewicht von Domains in der Zone .ru und die Verteilung der zum Botnetz gehörenden Geräte.

Als der Bericht von Incapsula schon vor der Veröffentlichung stand, erschienen Nachrichten über einen erneuten Versuch das Botnetz Kelihos zu stürzen und über die Festnahme der mutmaßlichen Hintermänner dieses Zombienetzes. Die Experten waren bis dahin der Meinung gewesen, bei „ihrem“ Botnetz handelte es sich um Kelihos. In den darauffolgenden vier Tagen stieg die Spam-Aktivität von B64ryoshka allerdings um 11% an, was eindeutig das Gegenteil beweist. Dabei scheint der Schlag gegen Kelihos sich zu Gunsten seines Konkurrenten ausgewirkt zu haben.

Die Daten, die Incapsula im Laufe seiner Untersuchungen zusammengetragen hat, wurden bereits an die zuständigen Strafverfolgungsbehörden und Aufsichtsorgane der Pharmaindustrie weitergegeben.

Quelle: Incapsula

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.