Die Evolution brasilianischer Malware

Inhalt

Zum kompletten Artikel (englisch)

Brasilianische Malware entwickelt sich nach wie vor mit jedem Tag weiter und wird daher immer raffinierter und gefährlicher. Wir möchten zeigen, wie sich die von den brasilianischen Cyberkriminellen eingesetzten Techniken verändert und in fortschrittliche Techniken von höchster Komplexität gewandelt haben. Schaut man sich das Gesamtbild an, so sieht man, dass die brasilianischen Online-Gangster ihre Techniken verbessern, um die Lebensdauer der Malware zu verlängern und den Profit zu steigern.

Es ist noch nicht lange her, da benötigte man nicht viel Zeit, um brasilianische Malware zu analysieren und zu detektieren, da weder Obfuskation oder Anti-Debugging-Techniken noch Verschlüsselung eingesetzt wurden. Stattdessen fand die Kommunikation ausschließlich in Klartext statt und der Code selbst war meist in Delphi und Visual Basic 6 geschrieben. Darin eingebettet waren eine Menge großer Bilder, so dass eine große Datei dabei herauskam und häufig auch eine schlechte Ausnahmebehandlung, wobei der Prozess sehr oft abstürzte.

Heute sieht es dagegen ganz anders aus: Die Angreifer investieren Zeit und Geld, um Lösungen zu entwickeln, bei denen die schädliche Payload komplett unter jeder Menge Obfuskation und Mechanismen zum Schutz des Codes verborgen wird. Sie benutzen noch immer Delphi und VB, haben sich aber auch andere Sprachen wie .NET angeeignet. Die Code-Qualität ist auch deutlich besser als vorher, was uns zeigt, dass die brasilianischen Cyberverbrecher sich jetzt auf einem anderen Niveau bewegen.

Was wir früher so fanden

Keylogger

In den Anfangszeiten handelte es sich bei den Programmen, die Banking-Informationen von Kunden sammelten, um einfache Keylogger. Davon nutzten die meisten einen öffentlich verfügbaren Code mit nur geringfügigen kundenspezifischen Modifikationen, um nur Daten in bestimmten Situationen aufzuzeichnen. Zu dieser Zeit war das ausreichend, da die Banking-Webseiten keinerlei Mechanismen zum Schutz vor derartigen Bedrohungen einsetzten.

Phishing-Trojaner

Nachdem die Banken in ihren Systemen virtuelle Tastaturen eingeführt hatten, war der Einsatz von Keyloggern nicht mehr effektiv. Um diesen Schutz zu umgehen, entwickelten die bösen Jungs in Brasilien nun zunächst Mouselogger-Malware und später Phishing-Trojaner. Damals setzte die Malware keine Art von Verschlüsselung oder Kodierung ein – alle Strings waren in Klartext geschrieben, was die Analyse vereinfachte.

Hosts

Um Informationen zu stehlen, ohne dass der dahinterstehende Phishing-Trojaner auffliegt, begannen die Übeltäter damit, die Browser der Nutzer auf schädliche Webseiten umzuleiten. Dazu änderten sie die Hostdatei dahingehend, dass die Domainnamen der Banking-Webseiten in hartcodierte Server aufgelöst wurden. Auf diese Weise war es nach einer Infektion transparenter für den Nutzer und die Chancen einer erfolgreichen Attacke wären damit gestiegen.

Anti-Rootkit

In dieser Phase erkannten die Cyberkriminellen, dass Anti-Malware-Lösungen und Sicherheits-Plug-ins für Online-Banking-Programme ihnen das Leben zunehmend schwer machen. Sie konzentrierten ihre Bemühungen daher auf das Entfernen von Sicherheitslösungen, bevor sie ihre schädliche Payload starteten, um so die Wahrscheinlichkeit einer erfolgreichen Ausführung zu erhöhen und den infizierten Rechner länger unter ihrer Kontrolle zu behalten.

Schädliche Bootloader

Nachdem die brasilianischen Cyberverbrecher bereits Anti-Rootkits eingesetzt hatten, drangen Sie noch tiefer in die Materie ein und begannen, eigene Bootloader zu entwickeln, die exklusiv maßgeschneidert waren, um Sicherheitslösungen von den Rechnern der Nutzer zu entfernen. Der Downloader ist dafür verantwortlich, die schädlichen Dateien zu installieren und die Maschine dann neu zu booten. Nach dem Neustart kann der schädliche Bootloader die gewünschten Dateien aus dem System entfernen.

Womit wir es heute zu tun haben

Automation

Die meisten Banken setzten Computeridentifizierung ein, um unautorisierte Versuche zu verhindern, Operationen mit Hilfe gestohlener Informationen durchzuführen. Um das zu umgehen, begannen die Verbrecher, die schädlichen Operationen von einem infizierten Rechner aus durchzuführen, indem sie die Internet Explorer Automation (früher: OLE Automation) nutzten, um mit dem Seiteninhalt zu interagieren.

Die ersten Samples, die diesen Angriffstyp anwandten, waren Browser Helper Objects (BHOs), die Überweisungsoperationen erkannten, das Zielkonto änderten und das Geld dann an die Angreifer und nicht an den tatsächlichen Empfänger schickten. Später wurde dieselbe Methode in Boleto-Attacken eingesetzt, bei denen die Automation benutzt wurde, um an den eingegebenen Barcode zu kommen und ihn dann durch den betrügerischen zu ersetzen.

Die Samples, die wir gefunden haben, sind aufgrund von String-Obfuskation, Debugger-Erkennung und der Detektion von virtuellen Maschinen sowie der oben beschriebenen Methode schwerer zu detektieren als andere Attacken unter Verwendung von Phishing-Trojanern und -Hosts.

Code Obfuskation und RunPE

Auf der Suche nach neuen Mitteln, die Detektion zu umgehen, setzten die brasilianischen Cybergangster Obfuskation ein, um die Teile des Codes zu verbergen, der die wichtigsten Operationen durchführt. Die brasilianischen Cyberkriminellen hatten sich eindeutig weiterentwickelt, denn während sie zunächst noch Anfängercode benutzten, setzten sie nun sehr viel professionellere Entwicklungen ein. Daher war es an der Zeit, auch den Analyseprozess für brasilianische Malware zu aktualisieren. Wir sind sicher, dass sich diese Evolution in erster Linie deswegen vollziehen konnte, weil die brasilianischen Cyberkriminellen Verbindung zu anderen Malware-Milieus aufgenommen hatten und sich mit ihnen austauschten, in erster Linie mit osteuropäischen Online-Kriminellen, was wir in diesem Artikel beschrieben haben.

AutoIt Crypto

AutoIt wird nun häufig als Downloader und Verschlüsseler für die endgültige Payload benutzt, um die Detektion zu umgehen. Nach seiner Kompilierung wird das AutoIt-Skript verschlüsselt und in die generierte Binärdatei eingebettet. Dadurch wird es notwendig, zunächst das Originalskript herauszuziehen, bevor der Code analysiert werden kann.

Auf der Suche nach einer besseren Methode, um die endgültige Payload zu verbergen, entwickelten die brasilianischen Cyberkriminellen einen neuen Verschlüsseler unter Verwendung der AutoIt-Sprache, wobei die entschlüsselte Payload mit Hilfe einer RunPE-Technik ausgeführt wird.

Die Evolution brasilianischer Malware

Ausführungsfluss von Autoit Crypto

Der Verschlüsseler verwendet zwei verschiedene Methoden, um die chiffrierten Dateien zu speichern: Die erste besteht in der Nutzung der Funktion FileInstall, die bereits in AutoIt vorhanden ist. Bei der anderen wird die Datei am Ende der Binärdatei eingebettet.

Die Verwendung von AutoIt zur Entwicklung von Malware ist nichts Neues, doch Mitte des Jahres 2014 registrierten die Kaspersky-Experten eine neue Welle von Angriffen unter Verwendung von AutoIt in Brasilien.

MSIL-Datenbank

Ein anderer Malware-Typ, der kürzlich in Erscheinung trat, sind Schadprogramme, die in .NET anstelle von Visual Basic 6.0 und Delphi entwickelt werden, ganz dem Trend folgend, den wir weltweit beobachten konnten. Es ist kein Problem, einen in .NET geschriebenen Downloader zu finden.

MSIL Crypto

Nach derselben Methode, nach der AutoIt Crypto vorgeht, entwickelten die Übeltäter einen anderen Verschlüsseler. In diesem Fall benutzten sie dabei die Sprache .NET. Der Prozess zum Entnehmen der echten ausführbaren Datei ist fast mit dem bei AutoIt Crypto verwendeten identisch, doch hier gibt es ein Zwischenmodul, das dafür zuständig ist, die endgültige Payload zu entpacken.

Bei dem Hauptmodul handelt es sich um einen .NET-Code, und die Hauptfunktion dieses Hauptmoduls besteht darin, die eingebettete DLL herauszuziehen und zu laden.

Die Evolution brasilianischer Malware

Ausführungsfluss von .NET Crypto

RAT

Um die durch Cyberangriffe verursachten Verluste zu verringern, führten viele Banken für die Durchführung von Online-Banking-Transaktionen zusätzlich zu den bestehenden Lösungen – wie etwa Computeridentifikation – die Zwei-Faktoren-Authentifizierung mit Hardware-Token oder SMS-TAN ein. Um dieses Problem zu lösen, entwickelten die Cyberkriminellen ein Fernsteuerungstool (RAT), das gezielt die Informationen abfragt, die für die Durchführung von Bank-Transkationen via Internet erforderlich sind.

Die Evolution brasilianischer Malware

RAT-Ausführungsfluss

Der Browser Watcher überwacht den Browser des Nutzers und sieht, ob mit irgendeiner der Zielbanken eine Verbindung hergestellt wird. Ist das der Fall, so wird der RAT-Client dekomprimiert und ausgeführt und der C&C-Server wird über die neue Infektion informiert. Der RAT-Client verbindet sich mit dem Server, um die Angreifer darüber zu informieren, dass sich ein neues Opfer mit einem Internetbanking-System verbindet. Daraufhin ist es möglich, die Attacke in Echtzeit durchzuführen. Ist der Nutzer bereits eingeloggt, kann der Angreifer dessen Bildschirm sehen, ihn blockieren und die Ausführung kontrollieren. Außerdem kann er nach speziellen Informationen fragen, die ihm dabei helfen, den Account zu kapern.

Ransomware

Brasilianische Cyberkriminelle arbeiten nicht ausschließlich mit Banking-Malware, sie erkunden auch andere Angriffstypen, Ransomware eingeschlossen. Vor einigen Jahren fanden wir TorLocker, der im Code Details enthält, die darauf hinweisen, dass die Entwickler aus Brasilien stammen.

Vor einigen Monaten fanden wir ein weiteres Ransomware-Programm, das auf dem Quellcode von Hidden Tear basiert, der für Attacken auf brasilianische Nutzer modifiziert wurde und sich von dem ursprünglichen Programm unterscheidet, das für Angriffe auf englisch- und japanischsprachige Nutzer konzipiert wurde.

Warum sie sich weiterentwickeln

Wir haben hinreichende Beweise dafür, dass brasilianische Cyberkriminelle mit osteuropäischen Gangs zusammenarbeiten, die mit ZeuS, SpyEye und anderen Schädlingen operieren, die in dieser Region entwickelt werden. Diese Zusammenarbeit betrifft direkt die Qualität und das Bedrohungspotenzial der lokalen brasilianischen Malware, da ihre Autoren neue Techniken in ihre Machwerke einbauen und sich dazu inspirieren lassen, einige der Features der aus Osteuropa stammenden Schädlinge zu kopieren. Brasilianische Cyberkriminelle verbessern nicht nur die Qualität ihres Schadcodes, sondern nutzen bereits die Cybercrime-Infrastruktur aus dem Ausland.

Kaspersky Lab registriert bereits erste Anzeichen für eine „Partnerschaft“ bei der Entwicklung von Malware unter Verwendung von schädlichen PAC-Skripten. Diese Technik wurde beginnend mit dem Jahr 2011 verstärkt in brasilianischer Malware eingesetzt und später von dem russischen Bank-Trojaner Capper übernommen. Diese Kooperation setzte sich fort, als brasilianische Cyberkrimielle begannen, die Infrastruktur von osteuropäischen Bank-Trojanern zu benutzen – Trojan-Downloader.Win32.Crishi war der erste Schädling, der DGA-Domains benutzte, die bei Bulletproof-Hostern in der Ukraine untergebracht sind. Auch die Boleto Malware übernahm die massive Nutzung von Fast-Flux-Domains, um so im Idealfall die Beschlagnahmung der C2-Server zu verhindern. Das konnten wir bei den „bagaça“-Domains (Bagasse auf Portugiesisch) beobachten, die unter Verwendung von anonymen Diensten registriert waren, die Crimeware und Boleto-Zubehör hosteten und verschiedene IPs für jede Anfrage auflösten.

Die Evolution brasilianischer Malware

Die „bagaça“-Domains: Fast-Flux und Bulletproof aus Osteuropa

Ein weiterer deutlicher Hinweis auf eine Kooperation ist die ständige Präsenz brasilianischer Cyberkrimineller in russischen oder osteuropäischen Untergrundforen. Es ist nicht ungewöhnlich, dass brasilianische Kriminelle in russischen Untergrundforen nach Samples suchen, neue Crimeware und Geldautomaten- beziehungsweise PoS-Malware kaufen oder ihre Dienste anbieten und verhandeln. Das Ergebnis dieser Zusammenarbeit kann an der Entwicklung neuer Techniken abgelesen werden, die in brasilianische Schädlinge aufgenommen werden.

Die Evolution brasilianischer Malware

Der brasilianische Autor von TorLocker verhandelt in einem russischen Untergrundforum

Diese Tatsachen zeigen, wie brasilianische Cyberkriminelle neue Techniken infolge einer Zusammenarbeit mit ihren europäischen Kollegen adaptieren. Wir sind davon überzeugt, dass das nur die Spitze des Eisbergs ist, da diese Art von Austausch üblicherweise über die Jahre immer weiter intensiviert wird. Denn die brasilianische Kriminalität entwickelt sich weiter und sucht nach neuen Wegen, um Unternehmen und Heimanwender anzugreifen.

Fazit

Die Cyberkriminalität in Brasilien hat sich in den letzten Jahren drastisch verändert. Sie hat einen Wandel durchlaufen von einfachen, aus öffentlichem Quellcode zusammengebastelten Keyloggern hin zu maßgeschneiderten Fernsteuerungstools, die eine vollständige Attacke unter Verwendung des infizierten Computers durchführen können.

Malware, die früher einen Phishing-Bildschirm angezeigt hat, sobald sie ausgeführt wurde, ist nun vollständig reaktiv und wartet auf eine gültige Sitzung, um erst dann ihre Arbeit zu beginnen.

Das bedeutet, dass die Kriminellen viel mehr Geld und Zeit in die Entwicklung ihres Schadcodes investieren, ihre Anti-Debugging-Techniken verbessern und die Malware so sehr viel länger unentdeckt laufen lassen können.

Soweit wir wissen, stehen die brasilianischen Online-Gangster in Verbindung zu Cyberkriminellen aus Osteuropa, in erster Linie aus Russland, mit denen sie Informationen, Malware-Quellcode und Dienstleistungen austauschen, die dann in brasilianischen Attacken zum Einsatz kommen. Viele der in Brasilien durchgeführten Attacken haben wir vorher in Russland beobachtet und umgekehrt wurden brasilianische Techniken später in russischen Angriffen umgesetzt.

Wir müssen also davon ausgehen, dass wir es demnächst mit brasilianischer Malware mit verbesserter Code-Obfuskation, mit optimierten Anti-Debugging-Tricks, Verschlüsselungsalgorithmen und sicherer Kommunikation zu tun bekommen, die uns die Arbeit deutlich erschweren werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.