Zunahme der Detektionen von Cryptowall 3.0 im Spam- und Angler-Traffic

Seit das Exploit-Pack Angler im vergangenen Mai begonnen hat, die Blocker-Malware Cryptowall 3.0 zu verbreiten, nimmt der schädliche Traffic zu und vervielfacht so die Zahl der potentiellen Erpressungsopfer.

Gemäß den Beobachtungen des SANS Internet Storm Centers wird Cryptowall 3.0 nicht nur mittels des weit verbreiteten Exploit-Packs in Umlauf gebracht, sondern auch mit Hilfe von Schadspam. Beide Infektionsmethoden weisen Ähnlichkeiten auf, was den Schluss nahelegt, dass eine einzige Quelle für die schädlichen Angriffe verantwortlich ist.

Die Version 3.0 ist die neuste Variante des Schädlings Cryptowall, der auch als Crowti bekannt ist. Diese Malware verschlüsselt – ebenso wie andere Schädlinge solcher Art – Dateien auf einem infizierten Computer und fordert die Zahlung von Lösegeld für den Dechiffrierungsschlüssel. Die Höhe der Summe liegt üblicherweise bei 500 Dollar in Bitcoin. Für die Verbindung mit dem C&C-Server benutzt der Erpresser normalerweise das anonyme Netzwerk Tor oder I2P. Im vergangenen Februar entdeckten Forscher von Cisco eine “abgespeckte” Version von Cryptowall 3.0, die ohne die in den Dropper integrierten Exploits daher kam. Allem Anschein nach hielten seine Betreiber Exploit-Packs für den effektiveren oder wirtschaftlich sinnvolleren Vektor.

Laut Brad Duncan, Forscher von Rackspace und ständiger Mitarbeiter von SANS ISC, hat eine Analyse des jüngsten Angler-Traffics ergeben, dass die Bitcoin-Adresse von den Betreibern der Malware ausgetauscht wurde. „Ich kann bisher noch nicht mit hundertprozentiger Sicherheit behaupten, dass hinter dem neuen Cryptowall 3.0 dieselbe Person steckt wie vorher“, schreibt Duncan auf der Website des SANS ISC. „Meine Intuition sagt mir allerdings, dass derselbe Cyberkriminelle oder dieselbe Verbrecherbande die Schuld an dieser Aktivität trägt. Denn zeitlich fällt das alles zusammen.“

Gegenüber Threatpost erklärte Duncan, dass eine Überprüfung der beiden Bitcoin-Adressen über blockchain.info eine Reihe von Transaktionen aufgedeckt habe, was bedeutet, dass einige Opfer von Cryptowall 3.0 das Lösegeld tatsächlich zahlen.

„Wir beobachten einen deutlichen Anstieg der Samples von CryptoWall 3.0 im Spam- und Exploit-Traffic im Vergleich zu früheren Werten; auf diese Weise hilft die vermehrte Verbreitung den Cyberkriminellen vermutlich, den Kreis der potentiellen Opfer zu erweitern“, erklärte der Forscher und fügte hinzu, dass ihm bisher nicht bekannt sei, ob die Lösegeldzahler tatsächlich die Dechiffrierungsschlüssel erhalten und ihre Dateien entschlüsseln können.

Laut Duncan ist der neuerliche Aufschwung der mit CryptoWall 3.0 zusammenhängenden Aktivität seit dem 25. Mai zu beobachten, wobei der Schädling sowohl über Spam als auch mit Hilfe von Angler verteilt wird. Nach Stand Ende letzter Woche sind beide Schadkampagnen nach wie vor aktiv.

Im Spam-Traffic wird Cryptowall 3.0 in Form eines Attachments in Mails verbreitet, die von Yahoo-Adressen versendet werden. Das angehängte Archiv my_resume.zip enthält eine HTML-Datei mit dem Namen my_resume.svg. Duncan wies außerdem darauf hin, dass die Angreifer den Dateinamen nun Zahlen hinzufügen, beispielsweise resume4210.html oder resume9647.html.

„Wenn man den Anhang öffnet und die schädliche Datei extrahiert, erhält man ein HTML-Dokument, erklärt der Experte. Beim Öffnen einer dieser HTML-Dateien beginnt der Browser Traffic zu generieren, den er dann an einen kompromittierten Server leitet. Der zurückkommende Traffic ist gzip-komprimiert, so dass er im TCP-Strom von Wireshark nicht auszumachen ist. Der Export des Textes von Wireshark bringt HTML zum Vorschein, das auf ein geteiltes Dokument auf einem Google-Server verweist.

Cryptowall wird auf unterschiedlichen URL in der Domain docs.google.com gehostet, die vollständige Liste wurde im Blog von SANS veröffentlicht. Hier ist auch die in der Spam-Kampagne verwendete Bitcoin-Adresse – 16REtGSobiQZoprFnXZBR2mSWvRyUSJ3ag – aufgeführt, sie ist für alle Samples des Schädlings gleich, die im Rahmen der laufenden Spam-Kampagne gefunden wurden.

Das Verbreitungsschema mit Beteiligung von Angler lief am 26. Mai an, als die ersten Infektionen mit Cryptowall 3.0 unter Einsatz dieses Exploit-Packs registriert wurden. Zu diesem Zeitpunkt verwendeten die Cyberkriminellen laut Angaben von SANS bei den Angler-Infektionen die Bitcoin-Adresse 16Z6sidfLrfNoxJNu4qM5zhRttJEUD3XoB, und Ende letzter Woche kam die folgende Adresse hinzu: 12LE1yNak3ZuNTLa95KYR2CQSKb6rZnELb.

„Die Gründe, warum die Verbrecher nun nicht mehr nur eine Bitcoin-Adresse verwenden, können vielfältig sein“, kommentiert Duncan. „Möglicherweise brauchen sie einen Ersatz für den Fall, dass die Ordnungshüter die eine Adresse sperren. Oder möglicherweise verfolgen sie auf diese Weise die Infektionen in den verschiedenen Regionen. Diesbezüglich bin ich mir allerdings nicht sicher, das ist nur eine intuitive Annahme, die nicht stimmen muss.“

Laut den Ergebnissen der Analyse der neusten Web-Einschleusungen verwendet diese Angler-Kampagne eine große Zahl an Redirects – von kompromittierten WordPress-Sites. „Wie die Statistik zeigt, gibt es im Internet eine Vielzahl von verwundbaren Websites, die veraltete oder ungepatchte WordPress-Versionen verwenden”, erläutert Duncan. „Das ist für die Initiatoren dieser (und anderer) Schadkampagnen ein unerschöpflicher Vorrat an Websites, die gehackt und zu schädlichen Zwecken verwendet werden können.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.