Trojaner Dyre heiß auf Cookies

Die Verbrecher, die für die Entwicklung des Bank-Trojaners Dyre verantwortlich sind, könnten möglicherweise nicht nur die Account-Daten von Salesforce.com abgegriffen, sondern noch ein anderes Ass im Ärmel haben.

Eine Analyse des Samples, durchgeführt von dem auf IT-Sicherheit spezialisierten SaaS-Unternehmen Adallom, hat gezeigt, dass der neue Dyre-Stamm neben Finanzinstituten auch große Industrieunternehmen angreift, und eine Funktionalität zum Diebstahl von Client-Zertifikaten und Cookie-Dateien aus dem Browser enthält. Mit diesen Authentifizierungsdaten verfügen Cyberkriminelle über dieselben Nutzungsmöglichkeiten des Accounts, wie der legitime User auch, und sie erhalten zudem Zugriff auf interne Dienste und Internet-Services.

Trotzdem verliert Dyre nicht seinen Appetit auf Banken. Die Forscher von Adallom haben allerdings festgestellt, dass der Schädling keine Konten von Privatpersonen und von Kleinunternehmen angreift. Stattdessen ist er für die Arbeit mit Login-Formularen für Großbanken und Unternehmenskonten konfiguriert.

„Bei der gesamten Operation geht es um weitaus mehr als nur um den Angriff auf Salesforce“, erklärte der Forschungsdirektor Tomer Schwartz. Am 8. September alarmierte Salesforce.com seine Kunden, da Dyre, auch bekannt als Dyreza, ihre Accounts angriff.

Dyre wird via Spam- oder Phishing-Mails verbreitet, und sobald der Schädling einen Rechner infiziert hat, lädt er eins von zwei Modulen, in Abhängigkeit davon, ob sich die eingegebene URL in der Liste seiner Ziele befindet. Ist das nicht der Fall, lädt er ein gewöhnliches Modul, das die Daten der POST-Anfrage aus dem Browser kopiert. Diese sendet er dann an den Command-and-Control-Server. Dieses Modul ist nicht in der Lage, Code einzuschleusen, aber laut Schwartz sendet es den Cyberkriminellen große Menge unverschlüsselter Informationen, unter anderen Kontodaten.

Wird eine URL in der Liste der Ziele gefunden, wird eine andere Konfiguration übermittelt, die eine „Man-in-the-Middle“-Attacke durchführt, indem sie den Traffic auf den Server der Gangster umleitet. Eine Funktion mit dem Namen browsersnapshot ermöglicht es Dyre , Cookie-Dateien von Internet-Sessions und Client-Zertifikate zu stehlen, ebenso wie private Schlüssel für den Windows-Zertifikatstore für den Internet Explorer und Zertifikatsdatenbanken von Firefox. Der Browser wird laut Schwartz dazu gebracht, das legitime Zertifikat zu verwenden, das in den Händen eines Verbrechers diesem die Möglichkeit gibt, Code in die Session einzuschleusen, indem er gefälschte Login-Seiten erstellt. Überdies umgeht die Attacke auch SSL.

„Wenn ich in der Lage bin, die Session-Cookies und Client-Zertifikate zu stehlen, dann bin ich in den Augen des Programms im Grunde genommen Sie, selbst wenn ich nicht die Session abgefangen habe, die Sie benutzen”, erklärt der Marketing-Vizepräsident von Adallom, Tal Klein. – „Das ist eine Sache, die Zeus nicht tut.“

Wie Schwartz sagte, zielen die Kampagnen von Bank-Schädlingen normalerweise nicht auf den Diebstahl von Client-Zertifikaten ab, unter anderem deshalb, weil sie selten für alltägliche Logins in die Konten von Privatpersonen benutzt werden.

„Die Tatsache, dass sie der Malware eine solche Funktionalität hinzugefügt haben, die auf dem Rechner jedes Opfers installiert wird, ist überaus interessant, da die Verwendung von Client-Zertifikaten nicht üblich und nicht besonders nützlich für umfassende [Banken]-Kampagnen ist“, erklärt er. „Das hier ist sehr viel zielgerichteter. Sie wissen genau, auf wen sie es abgesehen haben.“

Laut Klein muss nun geklärt werden, was die Kontodaten von Salesforce so wertvoll für die Cyberkriminellen macht, und er fügt hinzu, dass nun nach Mechanismen in Salesforce gesucht wird, die für irgendjemanden als Angriffsvektor interessant sein könnten.

„Diese Jungs sind nicht an so etwas wie E-Mail interessiert; nicht einer der Dienste aus der Liste der Malware-Ziele gehört zu Office 365 oder Google Apps“, erklärte er. „Was wirklich interessant ist, und worüber wir noch immer spekulieren, ist die Antwort auf die Frage, was ihnen die Daten von Salesforce geben. Sie haben kein Interesse daran, Salesforce auf dem offenen Markt zu verkaufen. Es muss einen Zusammenhang zwischen Salesforce und diesen Banken-Websites aus der Zielliste geben. Wir versuchen gerade herauszufinden, was das sein könnte.”

Adallom hat die vollständige Zielliste auf seiner Website gepostet, und ironischerweise wurden die Salesforce-Logins nicht auf der Liste der Opfer gefunden, für die die Gangster bestimmte Konfigurationen laden können. Einen großen Teil dieser Liste machen große britsche Banken aus. Der Code, der es auf die Account-Daten von Salesforce abgesehen hat, wurde hingegen auf einem Proxy-Server gefunden, der für Attacken auf Websites genutzt wird, die nach bisher unbekannten Kriterien ausgewählt werden, wie Schwartz erklärte.

Hilfreich könnte sein, dass die Cyberkriminellen unabsichtlich einmalige Tokens in einige Redirect-URLs integriert haben; Klein erhofft sich nun laut eigener Aussage, mit einigen der fraglichen Banken zum Zweck der Identifizierung der Cyberkriminellen zusammenarbeiten zu können.

„Dank der Schludrigkeit [der Angreifer] fanden wir heraus, dass diese nicht wenige Informationen in den URL der Banken aus ihrer Liste hinterlassen haben“, erklärte Klein. „Die nächste Phase besteht in der Zusammenarbeit mit einigen dieser Banken, um zu klären, wie häufig die Benutzung von Session-IDs oder Tokens zur Herstellung neuer Sessions registriert wurde. Das könnte uns einen Eindruck über das Ausmaß vermitteln.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.