Schädliche Makros in zielgerichteten Attacken

Die Forscher von Palo Alto Networks warnen vor zielgerichteten Spam-Versendungen, deren Zweck die Verbreitung eines dateilosen Schädlings mittels angehängter Word-Dokumente mit schädlichem Makro ist. Bis vor kurzem wurden auf diese Weise nur Banktrojaner nach Art von Dridex und Dyre in Umlauf gebracht, doch diese zwar alte, aber offensichtlich noch immer effektive Methode wird manchmal auch zur Verbreitung anderer Schädlinge eingesetzt, wie zum Beispiel des Informationsräubers Grabit, des Spions BlackEnergy, des Bots Kasidet oder des schädlichen Verschlüsselungsprogramms Locky.

In diesem Fall wurden die schädlichen Mails laut Palo Alto in nur geringer Auflage an die Adressen amerikanischer, kanadischer und europäischer Unternehmen verschickt. Sie werden als geschäftliche Schreiben getarnt, enthalten den Namen des Empfängers und verschiedene Informationen über das Unternehmen, in dem dieser arbeitet. Diese geringen Angaben, die sie anscheinend aus öffentlichen Quellen erhalten, sind völlig ausreichend, um den Adressaten dazu zu bringen, der Bitte vertrauensselig Folge zu leisten und das angehängte Dokument zu öffnen.

Wird die schädliche Datei geöffnet und werden – dem Rat folgend – Makros aktiviert (standardmäßig sind sie deaktiviert), startet sie die Ausführung der versteckten powershell.exe mit besonderen Argumenten der Befehlszeile. Der in diesem Fall auszuführende PowerShell-Befehl soll die Windows-Architektur bestimmen (32-Bit oder 64-Bit) und je nach Ergebnis den Download eines zusätzlichen PowerShell-Skripts mit Shell-Code gewährleisten.

Diese Payload führt eine Reihe unterschiedlicher Überprüfungen auf dem infizierten Rechner durch und bestimmt dabei, wie feindselig die Ausführungsumgebung ist (Vorhandensein von virtueller Maschine, Sandbox, Debugger) sowie den Wert des Zielobjekts. Ausgehend von Schwarzen und Weißen Listen sucht der Schädling in den Netzwerkeinstellungen des Opfers nach Strings, die eine Identifizierung des Profils der anzugreifenden Maschine ermöglichen. Und in den URL im Cache sucht er nach den Namen verschiedener Finanz-Websites und Namen wie Citrix, XenApp, dana-na (allgemeiner Ordner mit inneren URL, umgesetzt auf Basis von Juniper VPN).

„Es scheint, als ob dieser Schädling versucht, die Rechner von Medizinern und Vertretern aus dem Bildungsbereich soweit es geht unberührt zu lassen, während er solche Maschinen angreift, von denen aus Finanzoperationen durchgeführt werden“, schließen die Forscher. „Mitte des Jahres 2015 wurden solche Techniken bei der Familie von Schadprogrammen mit dem Namen Ursnif beobachtet.“

Die Untersuchungsergebnisse sendet der Schädling an sein Steuerungszentrum. Sind die Cyberkriminellen an einem potentiell angreifbaren Objekt interessiert, so schickt der C&C-Server eine verschlüsselte DLL-Datei zurück, die vorübergehend auf der Festplatte gespeichert und mit Hilfe von rundll32.exe ausgeführt wird.

Die Forscher haben diesen Schädling auf den Namen PowerSniff getauft. Eins der Samples wurde auch im Internet Storm Center SANS analysiert. Laut Angaben von Palo Alto ist diese Schadkampagne bisher noch nicht besonders umfangreich: Zum gegenwärtigen Zeitpunkt wurden nur etwa 1.500 Spam-Mails erfasst.

Quelle: Networkworld

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.