Nutze die Macht, Luuuk!

Der Raub einer halben Million Euro innerhalb nur einer einzigen Woche klingt wie Stoff, aus dem normalerweise Hollywood-Filme gemacht werden. Doch die Organisatoren des Luuuk-Bankenbetrugs haben das nur mit einer Man-in-the-Browser (MITB)-Kampagne gegen eine bestimmte europäische Bank zuwege gebracht. Das gestohlene Geld wurde dann automatisch auf vorher eingerichtete Stroh-Konten überwiesen. Als GReAT das Kontrollpaneel von Luuuk entdeckte, nahm das Team sofort Kontakt mit der betroffenen Bank auf und leitete die Ermittlungen ein.

Am 20. Januar 2014 entdeckte Kaspersky Lab einen verdächtigen Server, der verschiedene Logdateien enthielt, unter anderem Ereignisse von Bots, die an ein C&C-Webpaneel berichteten. Die übermittelten Informationen schienen mit einem Finanzbetrug zusammenzuhängen und sie enthielten Details zu den Opfern und den erbeuteten Geldsummen.

blog_theluuk_01

Abb. 1: Beispiel einer Log-Datei

Nach einer tiefer gehenden Analyse fanden wir weitere Dateien auf dem Server, die Protokolle mit unterschiedlichem Content enthielten und potentiell betrügerische Bank-Transaktionen zeigten, sowie Quellcode in JavaScript, der mit der C2-Infrastruktur in Verbindung stand. Diese Informationen lieferten wertvolle Daten über die angegriffene Bank und andere Details, wie etwa das Geldkurier-System und weitere operative Einzelheiten über dieses Betrugschema.

blog_theluuk_02

Abb. 2: Quellcode Kontrollpaneel

Nachdem wir alle verfügbaren Daten analysiert hatten, war klar, dass das C2 der serverseitige Teil einer Bank-Trojaner-Infrastruktur war. Wir glauben, dass der Betrug mit Hilfe von Man-in-the-Browser-Techniken begangen wurde und dass es auch möglich war, automatisch Transaktionen durchzuführen, um die Stroh-Konten vorzukonfigurieren.

Wir haben dieses C2 nach dem Pfad, den das Administrationspaneel in dem Server verwendet, luuuk genannt: /server/adm/luuuk/

Es folgt eine Zusammenfassung der wichtigsten Informationen, die wir von der serverseitigen Komponente extrahieren konnten:

  • Etwa 190 Opfer, die meisten aus Italien und der Türkei.
  • Betrügerische Transaktionen mit einem Umfang von über 500.000 € (den Logs zufolge).
  • Falsche Transferbeschreibungen.
  • IBANs der Opfer und der Geldesel.

Das Kontrollpaneel wurde in der Domain uvvya-jqwph.eu gehostet, die während der Analyse zu der IP-Adresse 109.169.23.134 aufgelöst werden konnte.

Der Betrug richtete sich gegen die Kunden einer einzigen Bank. Obgleich wir nicht in der Lage waren, an den Schadcode zu gelangen, der gegen die Opfer eingesetzt wurde, sind wir überzeugt davon, dass die Kriminellen einen Bank-Trojaner verwendeten, der Man-in-the-Browser-Operationen durchführte, um über eine schädliche Webeinschleusung an die Anmeldedaten ihrer Opfer zu gelangen. Den Informationen aus einigen Logdateien zufolge stahl die Malware in Echtzeit Benutzernamen, Passwörter und Einmalkennwörter.

blog_theluuk_03

Abb. 2: Beispiel für das Log einer betrügerischen Transaktion

Einschleusungen dieser Art sind für alle Variationen von Zeus (Citadel, SpyEye, IceIX, etc.) absolut typisch und sie alle sind in Italien wohlbekannt. Während unserer Ermittlungen war es nicht möglich, den Infektionsvektor auszumachen, doch Bank-Trojaner nutzen ein breites Spektrum an Methoden, um ihre Opfer zu infizieren, Spam und Drive-by-Downloads eingeschlossen.

Die Angreifer verwendeten die gestohlenen Anmeldedaten, um den Kontostand der Opfer zu überprüfen und automatisch verschiedene bösartige Transaktionen durchzuführen, vermutlich indem sie im Hintergrund einer legitimen Bank-Session operierten. Das würde zu einem der schädlichen Werkzeuge (einem VNC-Server) passen, das an den schädlichen Server gekoppelt war, den die Angreifer verwendeten.

Neben den “üblichen” Techniken, die angewandt werden, um das Geld der Anwender zu stehlen (Umgehung von Nutzer, Passwort und Einmalkennwort) ist das wirklich Interessante an dieser Kampagne die Klassifikation der vordefinierten Geldkuriere, die zum Transfer des gestohlenen Geldes eingesetzt wurden.

Laut Transaktionsprotokollen gab es 4 verschiedene Geldkurier-Gruppen:

  • 13test:Das Limit, das die Kuriere in dieser Gruppe akzeptieren können, liegt zwischen 40.000 und 50.000 Euro, obgleich einige Kuriere andere Limits haben, und zwar zwischen 20.000 und 30.000 €.
  • 14test:Das Limit, das die Geldesel dieser Gruppe akzeptieren können, liegt zwischen 15.000 und 20.000 Euro, obgleich einige Kuriere andere Limits haben, und zwar zwischen 45.000 und 50.000.
  • 14smallings: Das Limit, das die Kuriere dieser Gruppe akzeptieren können, liegt zwischen 2.500 und 3.000 Euro.
  • 16smallings: Das Limit, das die Geldesel dieser Gruppe akzeptieren können, liegt zwischen 1.750 und 2.000 Euro, obgleich einige Kuriere Summen zwischen 2.500 und 3.000 Euro akzeptieren können (wie in der Gruppe 14smallings).

Das könnte ein Hinweis auf eine gut organisierte Kurier-Infrastruktur sein. Unterschiedliche Gruppen haben unterschiedliche Limits bezüglich der Summen, die auf die Konten ihrer Geldesel überwiesen werden können – ein Indikator für den Grad des Vertrauens untereinander.

Die Betreiber dieses Kontrollpaneels haben alle sensitiven Daten am 22. Januar entfernt – zwei Tage nach Beginn unserer Untersuchungen. Ausgehend von der Transaktionsaktivität glauben wir, dass es sich hierbei eher um einen Umbau der Infrastruktur als um einen generellen Abbruch der Operation handelt.

Unter Berücksichtigung der betrügerischen Transaktionsaktivität, die wir auf dem Server entdeckt haben, und aufgrund mehrerer anderer Indikatoren glauben wir außerdem, dass die Kriminellen, die hinter dieser Operation stecken, sehr aktiv sind. Sie haben überdies proaktive operative Sicherheitsaktivität an den Tag gelegt, wobei sie ihre Taktik ändern und ihre Spuren verwischen, sobald sie entdeckt wurden.

Kaspersky Lab steht in Kontakt mit verschiedenen Strafverfolgungsbehörden und dem betroffenen Finanzinstitut, um die Kriminellen zur Verantwortung zu ziehen.

Kaspersky Fraud Prevention vs. the Luuuk

Die von den KL-Experten gefundenen Indizien weisen darauf hin, dass die Kampagne höchstwahrscheinlich von professionellen Kriminellen organisiert wurde. Allerdings können die bösartigen Tools, die eingesetzt werden, um den Anwendern ihr Geld zu stehlen, mit Hilfe moderner Sicherheitstechnologien effektiv unschädlich gemacht werden. Kaspersky Lab hat die Technologie Kaspersky Fraud Prevention entwickelt – eine mehrstufige Plattform zur Abwehr von finanziellem Online-Betrug. Diese Plattform beinhaltet Koponenten zum Schutz der Kundengeräte vor vielen Angriffstypen, unter anderem “Man-in–the-Browser”-Attacken, sowie Tools, die Unternehmen dabei helfen können, betrügerische Transaktionen zu erkennen und zu blockieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.