DRIDEX-Spam taucht erneut auf

Originalartikel von Ryan Flores, Threat Research Manager

Nur einen Monat nach dem Abschalten des DRIDEX-Botnets durch US- und britische Polizeibehörden baut sich das Botnet wieder auf. Server vom Netz nehmen ist zwar ein wichtiger Schritt, um Botnets zu schwächen, doch solange nicht die ganze Infrastruktur zerstört wird und alle Hintermänner gefasst sind, können Bedrohungen wie DRIDEX wieder auftauchen. Deshalb liegt es in der Verantwortung von Sicherheitsforschern, die Bedrohungen auch nach deren Ausschalten weiter zu beobachten und dazu beizutragen, sie zu vernichten.
Trend Micro ist es ein Anliegen, neben Takedowns auch Festnahmen zu ermöglichen, wie kürzlich gemeinsam mit NCA in Großbritannien geschehen.

Bild 1. Verteilung der Opfer vom 13. Oktober 2015 bis zum 23. November 2015

Der Kampf gegen DRIDEX geht weiter. Die Sicherheitsforscher entdeckten mehrere DRIDEX-bezogene Spam-Läufe, von denen die meisten Social Engineering-Köder nutzen, wie etwa Finanzthemen, Rechnungen, eine Zahlungsmahnung, einen Kontoauszug oder eine Quittung. Es gab um die zehn Varianten seit dem 13. November mit unterschiedlichem Inhalt, die alle in Englisch verfasst waren.

Bild 2. Spam zur Verbreitung von DRIDEX

Bild 3. Spam zur Verbreitung von DRIDEX

Bei näherem Hinsehen stellten die Forscher fest, dass alle diese Spam-Durchgänge von DRIDEX-Botnets, die seit August 2014 existieren, gesteuert waren. Das DRIDEX-Botnet ist in Segmente unterteilt und nutzt ein Zahlen-Codingsystem, das feststellt, welcher Akteur, welche Kampagnen oder Ziele daran beteiligt sind. In diesen jüngsten Spam-Durchgängen fanden die Forscher heraus, dass sie die genutzte ID oder das Segment bereits 2014 gesehen hatten. Das beweist erneut, dass das DRIDEX-Botnet nicht vollständig abgeschaltet wurde.

Bild 4. Beigefügter Code in den jüngsten Spam-Durchgängen

Die Analyse der neuen Varianten lässt den Schluss zu, dass dieselbe komplexe Coding-Technik der Verschleierung und der indirekten Calls wie in den vorherigen Varianten eingesetzt wurde, um die Analyse zu erschweren. Bereits bei früheren Analysen wurde festgestellt, dass der Code Zeichenfolgen in Verbindung mit dem Versenden von Email nutzte. Noch ist nicht klar, ob auch die neuen Varianten Mails verschicken können, um die gesamte Infektionskette anzubieten.

Bild 5. DRIDEX-Code

Makro-Malware: Immer noch vorhanden

In diesen Spam-Durchgängen wurden sowohl Excel- als auch Word-Dokumente genutzt. Werden sie geöffnet, so enthalten die Dateien ein Makro, das die bösartige DRIDEX-Datei herunterlädt. Es ist keine Schwachstelle erforderlich, obwohl Makros sowohl in Excel als auch in Word standardmäßig deaktiviert sind.

Makro-Malware ist eine längerfristige Bedrohung, die in den letzten Jahren einige Neuauflagen erlebt hat, etwa als Verteiler von Ransomware. Diese Taktik wurde auch für die Verbreitung von DRIDEX  schon früher eingesetzt. Die Malware-Autoren scheinen nun wieder auf ähnliche Taktiken zu setzen.

Es wird wohl eine Weile dauern, bis DRIDEX seine frühere Stärke wiederfindet, doch zeigen diese Spam-Durchgänge, dass die Köpfe hinter DRIDEX sich neu organisiert haben und ihre kriminellen Aktivitäten wieder aufnehmen. Anwender sollten daher Vorkehrungen treffen und Makros deaktivieren, wenn sie diese nicht brauchen.

Hashes

Trend Micro nutzt eine Vielfalt von Erkennungsnmane, um diese Bedrohung zu identifizieren:

  • TSPY_DRIDEX.AT
  • TSPY_DRIDEX.AU
  • TSPY_DRIDEX.SPB
  • TSPY_DRIDEX.YJL
  • TSPY_DRIDEX.YYSOX
  • W2KM_DRIDEX.YYSOZ
  • W2KM_DRIDEX.YYSPB
  • X2KM_DRIDEX.AT
  • X2KM_DRIDEX.YJP
  • X2KM_DRIDEX.YJQ

Die bösartigen Dateien in diesem Angriff haben die folgenden Hash-Summen:

  • 2681298227530857ecb7fd0483f6a2b502199ae7
  • 27e044382787ce6fb939c3dc719bddf5a9079884
  • 5768b9ffd34b494caa57fcbfdbba7658ab99af5e
  • 5fc76c8bc0ca79f7b32363ae349a4d043457cf28
  • 60609f9274a451dea2b4db2140d6f5f25db67217
  • 7186faf622c2991c85902c92eda1d1120ed43052
  • 8446015cf96a658aaa2caec9c5137ea2b4389027
  • 88bf75c330be4f6c4c0ecd93e549cfd24e27b736
  • 8b652145f06d023c8366fd391bc1c38474be06f5
  • b8fe8a934da236ab2a92047d3e955a7ac8267412
  • caad3ce34fa26e84496672d6694ace512226b83d
  • d9f50bfd4d2e6bc8b4b8f8a749a2a112b38c7fd8
  • ea2552e862d47d739cb5772ac806ac20fabb9f35

Zusätzliche Analysen von David John Agni, Franz Ryan Englis und Michael Marcos

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*