News

RAT-Trojaner von Tom und Jerry-Fans

Die Experten aus der IT-Sicherheitsfirma Forcepoint haben einen RAT-Trojaner identifiziert, der – dem Kompilierungsdatum nach zu urteilen – bereits seit mindestens einem halben Jahr in freier Wildbahn eingesetzt wird, allerdings nur in sehr eingeschränktem Maße. Zudem versteht er es, sich geschickt vor Erkennung zu schützen.

Nach Angaben der Experten verfügt dieser Windows-Schädling, der auf den Namen Felismus getauft wurde, über eine modulare Architektur und wurde überaus professionell programmiert. Seine funktionalen Möglichkeiten sind typisch für Trojaner dieser Art: Datei-Down- und Upload, Ausführen von Dateien, selbstständiges Aktualisieren und Ausführen von Shellbefehlen.

Auffallend ist, dass die Autoren des neuen Schädlings sich sehr bemüht haben, ihn vor einer Analyse zu schützen und die Arbeitskommunikation zu verbergen. Ein Test hat gezeigt, dass Felismus in der Lage ist, viele Antivirenprodukte zu erkennen und sich der Detektion zu widersetzen. Seine ausführbaren Codes und DLL sind gut vor einer Analyse und Reverse Engineering geschützt, und die meisten Nachrichten, die der Trojaner mit dem C&C austauscht, werden zweifach mit unterschiedlichen Schlüsseln chiffriert.

Die ersten Felismus-Samples, die analysiert wurden, waren getarnt als AdobeCMS.exe. Zum Zeitpunkt der detektierten nur neun von 60 Antiviren-Lösungen aus der Kollektion von VirusTotal die Imitationen, gegenwärtig erkennen etwas mehr als die Hälfte sie als schädlich.

Beim Start erstellten alle Samples ein unsichtbares Fenster und registrierten dafür die Funktion WindowProc, um die wichtigsten schädlichen Aktivitäten zu gewährleisten: Das Laden einer Datei von einem entfernten Server, das Erstellen einer Textdatei auf der lokalen Maschine, die Ausführung der Datei, das Ausführen eines Shellbefehls und das Speichern der Ergebnisse auf der Festplatte, Upload der Ergebnisse der letzten Ausführung von cmd.exe auf einen entfernten Server. Die Liste der Antiviren-Produkte, deren Prozesse der getestete Felismus verfolgte, umfasste 45 Positionen.

Viele von dem Trojaner verwendeten IDs (Opfer-ID, Modul-ID, Chiffrierungsschlüssel) werden auf der Grundlage von MD5-Hashes anderer Komponenten erstellt. Enthüllt wurde nur ein für Menschen lesbarer Codierungsschlüssel – Tom&Jerry@14here. Er hat die Experten auch auf den passenden Namen gebracht: ‚Felis‘ und ‚mus‘ sind die lateinischen Gattungsnamen für „Katze“ und „Maus“. Für die Verschlüsselung der C&C-Kommunikation verwendet Felismus in Abhängigkeit vom Mitteilungstyp mindestens drei Chiffrierungsmethoden. Die Befehlsinfrastruktur des Schädlings ist aktiv und wird allem Anschein nach sorgfältig gepflegt.

Eine Reihe von Domains, die mit dieser Bedrohung in Verbindung gebracht werden, geben eine gefälschte WordPress.org-Seite aus dem Jahr 2013 zurück, die eine Reihe falscher Daten enthält, unter anderem, ungültige Telefonnummern in Hongkong und nicht existierende physische Kontakt-Adressen. Die E-Mail-Adresse des Domain-Registranten wird nach Angaben von Forcepoint nirgends mehr online verwendet.

Im Laufe der Untersuchung des Samples wurden nur wenige Funktionen ausgeführt und nur einige unikale Einträge im Ereignisprotokoll hinterlassen. Dafür könnte es nach Ansicht der Experten zwei Gründe geben: Entweder ist die Cyberkampagne zu dem Zeitpunkt zum Erliegen gekommen oder das Verhalten des entsprechenden Samples ist abhängig von den Charakteristika des infizierten Computers. Die Forscher bemerkten zudem, dass der C&C-Server von Felismus eine der ausgehenden IP ihres Unternehmens blockiert.

Die Ziele der Angreifer sind zum aktuellen Zeitpunkt nicht klar. Drei von fünf Domains, die mit der IP-Adresse des C&C assoziiert werden, lassen sich dem Namen nach dem Finanzsektor zuordnen. Es wurden auch keine eindeutigen Hinweise auf eine Verbindung von Felismus zu bekannten APT-Kampagnen gefunden. Der ungewöhnliche Name eines der Verzeichnisse – datas – und der Tippfehler im Namen der Funktion ‚GetCurrtenUserName‘ könnten dafür sprechen, dass Englisch nicht die Muttersprache der Trojaner-Autoren ist. Die bei Forcepoint analysierten Samples wurden offensichtlich unter Verwendung eines Compilers mit offenem TDM-GCC–Quellcode in einer Version aus dem Dezember 2014 erstellt.

Quelle: Securityweek

RAT-Trojaner von Tom und Jerry-Fans

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach