Botnets, Kryptowährungs-Miner und Ransomware über Pop-Up-Werbung

Originalartikel von Joseph C Chen, Fraud Researcher

Das Team von Trend Micro Cyber Safety Solutions hat eine Kampagne verfolgt, die Potentially Unwanted Apps (PUA) Software Downloader verteilt. Einige dieser Kampagnen begannen bereits Ende 2017 PUAs zu verbreiten. Ein solcher PUA Software Downloader ist ICLoader (auch FusionCore genannt, PUA_ICLOADER).

ICLoader hat sich an die aktuelle Bedrohungslandschaft angepasst und begann 2017 verschiedene Botnets, Kryptowährungs-Miner sowie die neue GandCrab Ransomware (RANSOM_GANDCRAB.A) zu verteilen. Pop-Up-Werbung wurde für die Verbreitung der Schadsoftware auf Datei-Sharing Websites und auf über hundert Fake Software-Sharing Websites genutzt, von denen alle noch online sind. Die Hintermänner des ICLoaders scheinen Nutzer im Visier zu haben, die aktiv nach bestimmter Software suchen.

Die Kampagne

Die Forscher fanden drei Quellen für die Verteilung von ICLoader. Wie bereits erwähnt, wird bei einer der Methoden Pop-Up-Werbung auf kostenlosen Datei-Sharing Websites eingesetzt. Auf diesen Websites können Nutzer ihre Dateien hochladen und einen Download-Link mit anderen teilen. Die Anzeigen erscheinen, wenn Nutzer auf den Download Button auf ihrer Seite klicken.

ICLoader nutzt diese Anzeigen als Köder für die Installation. Nach einem Klick auf einen Download öffnet ein Pop-Up ein neues Fenster mit einem bösartigen Link, der auf die Download-Seite von ICLoader führt.

Nutzer werden im Glauben gelassen, es seien tatsächliche Dateien von der Sharing Website. Sobald ICLoader installiert ist, kann er Schadsoftware oder PUAs auf das Gerät des Opfers ablegen.

Bild 1. Pop-Up-Werbung auf einer Datei-Sharing Site führt zur Download-Seite von ICLoader (rechts)

Die zweite Quelle sind gefälschte Software-Sharing Websites. Eine der Akteursgruppen erstellte 117 solcher Sites mit hunderten Fake-Angeboten. Auf den Sites gibt es detaillierte Beschreibungen von Software und “kostenlose Download”-Buttons dazu. Alle diese Links führen auf Server, die die Nutzer zu verschiedenen PUA Downloadern umleiten, vor allem zu ICLoader.

Die Analyse ergab, dass die Buttons zumeist mit Shortened URLs verbunden sind, die in mehrere Websites eingebettet wurden. Es ist anzunehmen, dass die Besitzer dieser Sites, die Shortened URLs dazu nutzen, um die Zahl ihrer Besucher zu ermitteln. Die Überprüfung einer der ältesten URLs ergab mehr als 50 Millionen Besucher seit 2015. Die Shortened URLs, die später erstellt wurden, hatten etwa 300.000 Besucher jede Woche.


*Daten des Google URL Shortener

Bild 2. Besuche von Fake Software Sharing Websites seit 2015

Schließlich verbreiten noch zwei gefälschte Torrent Sharing Websites den ICLoader.

Bild 3. Fake Software Sharing Website (links) und eine nachgemachte Torrent Website (rechts)

Funktionsweise des ICLoaders

Sobald der Nutzer den bösartigen Link anklickt, wird er auf die ICLoader-Seite umgeleitet, die dann den Loader auf das Gerät des Opfers ablegt. Es ist üblicherweise eine zip-Datei. Die ICL-Loader-Datei führt denselben Namen wie die Software, die der Nutzer eigentlich herunterladen wollte. Wird die Datei ausgeführt, so sieht der Nutzer die typischen Installationsanleitungen und Schritte. Alle von den Sicherheitsforschern überwachte PUA-Programme waren zudem mit einem gültigen COMODO-Zertifikat signiert.

Danach beginnt der ICLoader mit dem Herunterladen und der Installation von legitimer Software. Doch kommuniziert er auch mit seinem C&C-Server und erhält zusätzliche bösartige Dateien, bevor die Installation beendet ist. Diese werden ohne Zustimmung des Nutzers ebenfalls aufgespielt.

Der C&C-Server einer früheren ICLoader-Version hatte entweder eine „.ru”-Domäne oder nur eine IP-Adresse. Neuere Versionen wiederum nutzen Amazon AWS zum Hosting ihrer Server.

ICLoader legt einerseits Adware und nutzlose Software ab, doch andererseits auch Schadsoftware. Die Forscher fanden sieben Arten von Botnets, vier verschiedene Kryptowährungs-Miner und die GandCrab Ransomware. Ein Beispiel der Mining-Schadsoftware COINMINER_MALXMR.TIBAFR umfasst der Originalbeitrag.

Eine im Februar entdeckte Version des ICLoaders installierte einen unbekannten Loader (PUA_INERINO), der zusätzlich die neue Ransomware GandCrab ablegte. GandCrab wurde über ein Fake Font Update, Social Engineering, Malware Spam und Exploit Kits verteilt.

Es ist ungewöhnlich, dass PUA-Software Ransomware verbreitet. Die Informationen auf dem C&C-Server zeigten, dass es sich um einen Loader namens „iNerino” handelt. Er ist mit einem Botnet Pay-per-Install-Service verbunden, der in einem russischsprachigen Forum verkauft wird. Die Überwachung des ICLoaders zeigte, dass iNerino mehrmals installiert wurde und verschiedene Malware und Botnets wie SmokeLoader und AZORult installierte. Diese Botnets installierten zumeist Krypto-Miner.

Zusätzlich legte auch Rig Exploit Kit iNerino ab. Dessen Autor mag wohl die Entwickler von ICLoader und des Rig Exploit Kits dafür zahlen, iNerino zu pushen. Gleichzeitig verkauft er die Services an weitere Angreifer, die ihre Malware installieren wollen.

Bild 4. iNerino wird in einem russischsprachigen Forum angeboten

Gegenmaßnahmen und Lösungen

Eine der wichtigsten Schutzregeln ist, dass Nutzer Vorsicht beim Klicken auf Links walten lassen und nur Programme aus vertrauenswürdigen Quellen herunterladen und ausführen. Patching und Updates auf die neuesten Versionen sind eine Voraussetzung dafür, sich vor Schwachstellen zu schützen, die missbraucht werden können.

Darüber hinaus können die Trend Micro Endpoint-Lösungen Smart Protection Suites und Trend Micro Worry-Free Services Advanced Endanwender und Unternehmen vor Bedrohungen schützen, denn sie erkennen und blocken bösartige Dateien und alle dazu gehörigen URLs. Smart Protection Suites kann über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern Die Anti-Ransomware-Funktion erkennt und blockt die Ausführung der Malware.

Der Anhang enthält die SHA256s und gefälschten Software Sharing sowie Torrent Websites.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.