PoS-Schädlinge und Andromeda: die neue Symbiose

Die Experten von Trend Micro warnen vor einer Internet-Kampagne, die auf die Verbreitung eines neuen PoS-Schädlings mit Hilfe des Bots Andromeda ausgerichtet ist. Um diese in Umlauf zu bringen, setzen die Initiatoren der Kampagne Spam-Versendungen ein. Nach seiner Installation lädt der Bot auf Befehl vom Steuerungszentrum zusätzliche Tools, die die entfernte Steuerung und Installation von GamaPoS auf anderen Windows-Rechnern im angegriffenen Netz erleichtern.

Der schon seit 2011 bekannte Backdoor Andromeda (in der Klassifikation von Kaspersky Lab Backdoor.Win32.Androm) nutzt für den Download nicht selten andere Schädlinge, unter anderem ZeuS und Rovnix. In diesem Fall wird er via Spam transportiert, der mit Links auf eine Exploit-Plattform oder mit einem angehängten Dokument mit schädlichem Macros ausgestattet ist. Laut Angabe von Trend Micro sind solche Anhänge normalerweise als Dokumente für das neue PCI DSS (Sicherheitsstandard der führenden Kreditkartenunternehmen) getarnt oder als Update für die E-Commerce-Plattform MICROS, die aktuell von Oracle bereitgestellt wird.

Nachdem sich die Backdoor auf einer infizierten Maschine festgesetzt hat, lädt Andromeda auf Befehl des Betreibers eine Kopie von Mimikatz und PsExec. Bei letztgenanntem handelt es sich um ein legitimes Tool, das normalerweise für die entfernte Kontrolle und Diagnostik benutzt wird, und daher häufig in den weißen Listen erscheint. Der Komfort, den die Funktionalität von PsExec bietet, lernten auch Cyberkriminelle zu schätzen, ebenso wie den „guten Ruf“ dieses Tools: Nach Angaben der Forscher wurde PsExec beispielsweise von den Hackern von Target eingesetzt, um bestimmte Prozesse zu abzubrechen und Dateien zu platzieren. Mimikatz ist ebenfalls hinreichend bekannt und wir in modifizierter Form in Cyberattacken angewendet, um Registrierungsdaten von Windows-Rechnern zu stehlen. Der Einsatz von PsExec und Mimikatz zur Verteilung von GamaPoS hilft Cyberkriminellen, ihre Erfolge innerhalb des angegriffenen Netzes zu mehren.

Wie sich zeigte, lädt Andromeda den neuen PoS-Schädling keinesfalls auf alle PCs innerhalb des neuen Botnetzes. Nach Einschätzungen von Trend Micro wurde er zum gegenwärtigen Zeitpunkt nur auf 3,8% der infizierten Rechner verteilt. GamaPoS selbst zeichnet sich dadurch aus, dass er mit Hilfe des Frameworks .NET entwickelt wurde, ein für PoS-Schädlinge äußerst ungewöhnlicher Ansatz. Die Forscher nehmen an, dass die Virenschreiber diesen Weg nicht nur gewählt haben, weil es einfach ist, auf dieser Plattform derartige Anwendungen zu schreiben, sondern auch, weil Microsoft den Quellcode von .NET Core nun als Open Source bereitgestellt hat.

Beim Start sucht GamaPoS mit Hilfe einer URL-Liste ein aktives Steuerungszentrum und baut eine HTTPS-Verbindung auf. Eben diese Adresse verwendet der Schädling in der Folge, zum Versenden der gestohlenen Track-2-Daten von Visa-, Discover- und Maestro-Karten sowie einigen anderen.

Eine Analyse hat ergeben, dass 85% der von GamaPoS angegriffenen Organisationen aus den unterschiedlichsten Bereichen auf 13 US-amerikanische Staaten verteilt sind. In der laufenden Kampagne werden 9 Domains verwendet, die alle mit einer IP-Adresse in Verbindung stehen. Die Forscher haben zudem einige Ähnlichkeiten des neuen Schädlings mit NitlovePOS festgestellt: Beide werden mittels Spam-Versendungen mit schädlichen Macros verbreitet, obgleich PoS-Schädlinge üblicherweise ins System eingeschleust werden, nachdem sie sich entfernten Zugriff durch den Diebstahl oder Hack der entsprechenden Account-Daten verschafft haben. Zudem wurde auf der ersten Etappe beider Kampagnen ein und derselbe IP-Adressblock eingesetzt.

Quelle: Help Net Security

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.