Banking-Schadsoftware nutzt bösartige Makros und die Windows PowerShell

Originalartikel von Trend Micro

Im letzten November gab es Angriffe, bei denen die Windows PowerShell an der Verteilung von ROVNIX über bösartige Makro-Downloader beteiligt war. Während die Angreifer damals die PowerShell-Funktionalität nicht direkt ausnutzten, tun sie es nun mit der Bankschadsoftware VAWTRAK und verwenden auch bösartige Makros in Microsoft Word.

Die Banking-Schadsoftware VAWTRAK stiehlt Online-Bankinginformationen. Unter den Opfern sind die Bank of America, Barclays, Citibank, HSBC, Lloyds Bank und J.P. Morgan. Andere Varianten hatten bereits deutsche, britische, Schweizer und japanische Banken ins Visier genommen.

Infektionskette über “FedEx”-Spam

Die Infektionskette beginnt mit einer Spam-Nachricht. Die meisten dieser Nachrichten geben vor, von FedEx zu kommen. Sie enthalten eine Benachrichtigung des Opfers über ein angeblich ausgeliefertes Päckchen und eine Liefernummer für die Sendung.



Bild 1. “FedEx”-Spam

Eine andere E-Mail kam von einer gefälschten American Airlines-Adresse, die das potenzielle Opfer darüber in Kenntnis setzte, dass dessen Kreditkarte für eine Transaktion belastet wurde. Das angehängte „Ticket“ ist eine Word-Datei, die angebliche Details der Transaktion enthält.



Bild 2. “American Airlines”-E-Mail

Einsatz von Makros und PowerShell

Wird das Dokument geöffnet, so sieht man zuerst durcheinander gewürfelte Symbole. Die Empfänger werden dazu aufgefordert, die Makros zu aktivieren, und eine Sicherheitswarnung führt den Nutzer zur Aktivierung der Makros.



Bild 3. Dokument vor und nach der Aktivierung der Makros

Danach wird eine Batch-Datei zusammen mit einer .VBS-Datei und einem PowerShell-Skript auf dem betroffenen System abgelegt. Die Batch-Datei führt die .VBS-Datei aus, die die PowerShell-Datei anstößt, die dann die VAWTRAK-Variante (BKDR_VAWTRAK.DOKR) herunterlädt.



Bild 4. Verbindung zu URLs, um VAWTRAK herunter zu laden

Die Nutzung der drei Komponenten mag eine Evasion-Taktik sein. Die .VBS-Datei hat eine “-ExecutionPolicy bypass”-Flag, um die Ausführungs-Policy auf dem betroffenen System zu umgehen. Eine solche Policy setzen viele Adminstratoren als „Sicherheitsmaßnahme“ ein. Sie erlaubt die Ausführung von Skripts nur dann, wenn diese die Anforderungen der Policy erfüllen. Mit der gesetzten Flag wird „nichts blockiert und keine Warnungen oder Prompts angezeigt“. Die Infektionskettte kann ohne Probleme weitergehen.

VAWTRAK-Routinen

Sobald BKDR_VAWTRAK.DOKR auf dem Computer ist, kann die Schadsoftware Informationen aus verschiedenen Quellen stehlen, so etwa E-Mail-Anmeldeinformationen aus Mail-Diensten wie Outlook und Windows Mail. Auch versucht sie, Informationen aus verschiedenen Browsern wie Chrome und Firefox zu stehlen oder Informatiionen für FTP-Clients oder Dateimanager-Software wie FileZilla.

Die Schadsoftware kann auch Zwei-Faktor-Authentifizierung umgehen wie Einmalpasswörter-Tokens und besitzt Funktionen wie Automatic Transfer System (ATS). Die Umgehung von SSL und die ATS-Fähigkeiten hängen von der erhaltenen Konfigurationsdatei ab. Diese Datei enthält das Skript für ATS und SSL. Die bösartigen Skripts können sich ändern, abhängig von der anvisierten Site. Sie sind wie Automatisierungs-Skripts, die in den Client-Browser eingefügt werden. Das erweckt den Eindruck, als ob die Transaktionen auf der Maschine des Opfers durchgeführt wurden.

Für den Informationsdiebstahl nutzt die Schadsoftware Methoden wie das Kapern von Formularen, Screenshots und Site Injections. Zu den Ziel-Sites gehören Amazon, Facebook, Farmville, Google, Gmail, Yahoo Mail und Twitter.

VAWTRAK, alt und neu

Mit der Nutzung von Word-Dokumenten mit bösartigem Makro-Code entfernt sich VAWTRAK von bekannten Übertragungsvektoren. Frühere VAWTRAK-Varianten waren Payloads in Exploits und einige gehörten zur Infektionskette im Zusammenhang mit dem Angler Exploit Kit. Die Routine mit den Makros ähnelt der von anderen Information Stealern wie ROVNIX und DRIDEX.

Geändert hat sich auch der Pfad und der Dateiname, den die Schadsoftware nutzt. Früher waren es:

%All Users Profile%\Application Data\{random file name}.dat

%Program Data%\{random file name}.dat

Nun wurde es geändert:

%All Users Profile%\Application Data\{random folder name}\{random filename}.{random file extension}

%Program Data%\{random folder name}\{random filename}.{random file extension}

Diese Änderungen haben Auswirkungen bezüglich der Sicherheit., und sie betreffen Systeme, die auf Verhaltensregeln vertrauen. Sucht die Regel für VAWTRAK nach .DAT-Extension im Ordner %All Users Profile%\Application Data and %Program Data%, so muss sie nun geändert werden, um diese VAWTRAK-Muster zu finden.

Makros für Vermeidung

VAWTRAK ist die neueste Familie, die Makro-basierte Angriffe startet. Die derzeitige Variante nutzt ein mit Passwort geschütztes Makro, und das erschwert die Analyse der Malware, weil das Makro nicht angesehen oder geöffnet werden kann.

Betroffene Länder

Die Trend Micro-Bedrohungsforscher haben diese neue Welle der VAWTRAK-Infektionen seit November 2014 beobachtet. In den USA gibt es die höchste Zahl von Infektionen, gefolgt von Japan.



Bild 5. Die von der neuen VAWRAK-Variante am meisten betroffenen Länder

Fazit

VAWTRAK hat sich seit seinem Auftauchen im August 2013 sehr verbessert. In Kombination mit bösartigen Makros und der Windows PowerShell ist die Schadsoftware zum idealen Werkzeug für den Datendiebstahl geworden.

Das Trend Micro™ Smart Protection Network™ schützt die Anwender vor dieser Bedrohung und blockiert alle damit in Zusammenhang stehenden bösartigen Dateien, URLs und Spam-Nachrichten.

Dazugehörige Hashes:

  • de9115c65e1ae3694353116e8d16de235001e827 (BKDR_VAWTRAK.DOKR)
  • 1631d05a951f3a2bc7491e1623a090d53d983a50 (W2KM_VLOAD.A)
  • 77332d7bdf99d5ae8a7d5efb33b20652888eea35 (BKDR_VAWTRAK.SM0)

Mit Analysen und Input von Jeffrey Bernardino, Raphael Centeno, Cris Pantanilla, Rhena Inocencio, Cklaudioney Mesa, Chloe Ordonia und Michael Casayuran

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*