Angriff auf den Boston Marathon als Spam-Köder

Originalartikel von Aisa Escober, Threat Response Engineer

Es hat keine 24 Stunden gedauert, bis die Cyberkriminellen die Explosionen während des Boston Marathon für ihre fiesen Zwecke missbraucht haben. Trend Micro zählte mehr als 9.000 Spam-Nachrichten, die das Blackhole Exploit Kit umfassten und die tragischen Ereignisse von Montag als Köder ausnützten.

Beispielsweise fanden die Sicherheitsforscher folgendes Spam-Muster:


Abbildung 1. Beispiel einer Spam-E-Mail mit den Explosionen beim Boston Marathon als Köder

Die Spam-Nachricht enthält lediglich die URL http://{BLOCKED}/boston.html, hinter der sich eine Webseite mit einem vorgeblich von YouTube stammenden Video verbirgt. Nutzer, die den Link anklicken, haben möglicherweise bereits unwissentlich eine Schadsoftware (ein Drive-by-Download-Angriff) heruntergeladen. So sieht die Seite mit dem eingebetteten Video aus:


Abbildung 2. Bösartige Webseite mit dem eingebetteten Video

 Das Anklicken des Links in der E-Mail stößt einen automatischen Download von http://{BLOCKED}.boston.avi_______.exe an. Im linken unteren Eck der Download-Leiste zeigt der Dateiname boston.avi_____.exe an, dass es sich um eine heruntergeladene Datei handelt, und zwar um eine bösartige Datei, die eine neue Variante des WORM_KELIHOS-Schädlings umfasst.

WORM_KELIHOS.NB-Routinen

Während der Nachforschungen stellte das Trend Micro-Team fest, dass sich die IP des Download-Links bei jedem Zugriff ändert. Die IP-Adressen stammen aus mehreren Ländern, etwa Argentinien, Taiwan, Niederlande, Japan, die Ukraine, Russland und Australien. Die URL lädt auch weitere ähnliche Schadsoftware von anderen Links herunter, wie der URL-Log zeigt:


Abbildung 3. Log mit bösartigen URLs

Die heruntergeladenen Muster weisen dasselbe Verhalten und dieselbe Dateigröße auf, mit dem Unterschied, dass die verwendeten Icons und die Dateinamen wechseln.

Die Analyse ergab auch, dass WORM_KELIHOS.NB alle Verzeichnisse auf dem Wechsellaufwerk versteckt und sie durch eine .LNK-Datei ersetzt, die ein Ordner-Icon verwendet. Hier wird die Schadsoftware ausgeführt und dann der ursprüngliche Ordner geöffnet. Außerdem erzeugt der Schädling .LNK-Dateien auf dem infizierten Wechsellaufwerk (C:\WINDOWS\system32\cmd.exe F/c “start %cd%\game.exe). Der Screenshot zeigt ein solches infiziertes Wechsellaufwerk:

Abbildung 4. Mit WORM_KELIHOS.NB infiziertes Wechsellaufwerk

Der Wurm hat die Fähigkeit, Login-Daten von verschiedenen File Transfer Protocol (FTP)-Systemen wie LeapFTP, P32bit FTP, FTP Control, SecureFX, BitKinex, FileZilla und anderen zu entwenden. Zu erwähnen ist auch die Routine, mit der E-Mail-Adressen von den lokalen Festplatten der Opfer gesammelt werden können. Schließlich versuchte der Schädling auch, Bitcoin-Walltets zu entwenden, wenn diese auf den infizierten Systemen lagen.

Bestimmte Links führen zu einer Webseite, die den Exploit JAVA_EXPLOIT.BB hostet, der die Oracle Java 7 Security Manager Bypass Vulnerability (CVE-2013-0422) ausnutzt, um dann eine Schadsoftware auf das System zu laden.

Rasante Ausbreitung
Das Trend Micro Smart Protection Network zeigt eine sehr hohe Zahl an bösartigen URLs im Zusammenhang mit den Ereignissen beim Boston Marathon, wobei die USA die meisten aufweist.


Abbildung 5. Trend Micro Smart Protection Network-Daten zu bösartigen URLs im Zusammenhang mit den Explosionen beim Boston Marathon

Außer den Spam-Mustern fanden die Sicherheitsforscher auch heraus, dass andere Plattformen ebenfalls dazu genutzt wurden, um ähnliche Bedrohungen zu verbreiten. Bösartige Tweets und Links zu freien Blogging-Plattformen entstanden ebenfalls kurz nach den Bombenanschlägen.


Abbildung 6. Bösartige Tweets und Blog Posts

Schließlich entdeckten die Trend Micro-Sicherheitsforscher noch eine weitere BHEK-Spam-Kampagne. Die E-Mail gaben vor, von dem US-Nachrichtensender CNN zu kommen. Im Text, der im Stil von CNN aufgemacht war, wurde den Lesern ein Link auf weitere Details zum Bombenangriff angeboten.

Der Link führte zu BKDR_CRIDEX.CHX, einem Backdoor, der die Aktivitäten des IE eines Nutzers überwachen kann, vor allem die Adress- und Titelzeile. Der Schädling erzeugt eine legitime Website mit einer gefälschten Anmelde-Seite für den Fall, dass ein Nutzer eine Banken-Webseite mit bestimmten Zeichenfolgen in der Adress- oder Titelzeile aufruft.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*