Gefälschte Login-Warnung verteilt Backdoor

Originalartikel von Jay Yaneza, Technical Support

Cyberkriminelle nutzen häufig rechtmäßige Services, um ihre Angriffe glaubhafter zu machen. So entdeckten die Bedrohungsforscher Angriffe, die Dienste und Plattformen wie Google Drive und Dropbox dafür einsetzten, um gutgläubige Nutzer zu täuschen.
So gab es Spam-Nachrichten, die angeblich von Gmail kamen und den Empfänger warnten dass jemand sich von einem unbekannten Gerät in sein Konto eingeloggt habe. Doch alle Links in der Nachricht zeigten auf eine Google Drive URL:


Bild 1. Beispiel der Spam-Mail
Die E-Mail ist einer richtigen Gmail-Nachricht sehr ähnlich, doch ein vorsichtiger Nutzer sieht, dass die angezeigte Mailadresse und die angebliche Quelladresse nicht übereinstimmen. Auch zeigt der Header, dass die Mail von einem Mail-Formular einer Website aus gesendet wurde.

Auch zeigen alle Links in der E-Mail auf eine HTML-Datei auf Google Drive. Diese Datei dient dazu, das Betriebssystem und den Browser des Nutzers zu erkennen. Beispielsweise wird nachfolgender Code dazu genutzt, um das Betriebssystem des Nutzers festzustellen:

function nav() {
var OSName=“UnknownOS“;
if (navigator.platform.indexOf(„Win“)!=-1) OSName=“W“;
if (navigator.platform.indexOf(„Mac“)!=-1) OSName=“M“;
if (navigator.platform.indexOf(„X11″)!=-1) OSName=“U“;
if (navigator.platform.indexOf(„Linux“)!=-1) OSName=“L“;
if (/Android/.test(navigator.userAgent)) OSName=“A“;
return OSName;

Es fällt auf, dass der Code verschiedene Plattformen wie Windows, Mac, Unix, Linux und sogar mobile Plattformen (Android) in Betracht zieht. Weiterer Code unterscheidet auch die abgelegten Payloads nach dem Browser des Opfers. Beispielsweise bei Firefox sieht der Nutzer folgendes:


Bild 2. Gefälschte Plugin Download-Seite
Auch wenn der HTML-Code zwischen verschiedenen Konfigurationen wählen kann, so gibt es nur eine beschränkte Zahl von tatsächlich abgelegten Payloads (BKDR_PERCS.A). Dieser Backdoor stiehlt E-Mail-Zugangsdaten, Nutzernamen und Passwörter. Auch zeichnet er Tastenbewegungen auf. Als Hintertürschädling kann er zudem entfernte Befehle der Angreifer ausführen.

Die Analyse der Infektionskette durch den Deep Discovery Analyzer bringt mehr Klarheit:


Bild 3. Deep Discover Advisor Bildschirminhalt
Auf Systemen mit Firefox wird der Backdoor als XPI-Datei geschickt (wird von Firefox-Erweiterungen genutzt). Die Binärdatei enthält den Hintertürschädling und auch die dazugehörigen Malware-Komponenten.

Die bösartigen Payloads werden auch auf Google Drive gehostet. Die Angreifer laden regelmäßig neue Dateien für diesen Angriff hoch, auch wenn das Verhalten gleich bleibt. Am ersten Tag verteilte der Angriff die folgenden Hashes:

  • 012BCE75BCACDAE0CCCB37B6740A925F769F5547
  • D18C7C42236171C37A6A3B7C1DEE6E0A6381AC4E

Zwei Tage später wurden die Links geändert und zeigten dann auf die folgenden Hashes:

  • 711AFD18ACCF650F6AEC42F836380EE158D4F8D5
  • A7F8F8A251534867CC9FE56636CFAB26D12C03C4

Ein paar Tage danach schließlich gab es folgende Hashes bei gleichem Verhalten:

  • 711AFD18ACCF650F6AEC42F836380EE158D4F8D5
  • A7F8F8A251534867CC9FE56636CFAB26D12C03C4

Da diese Dateien auf rechtmäßigen Services liegen, werden sie auch über HTTPS verschickt, sodass sie Web-Filter umgehen. Zusätzlich nutzte der Angriff das Mailer Systeme und eine IPv6-Adresse einer infizierten Website, sodass auch die E-Mail-Reputationsdienste unterlaufen werden.


Bild 4. Screenshot eines Mail-Headers der Spam-Nachricht



Bild 5. Screenshot mit Namensauflösung des versendenden Mail-Servers

Trend Micro schützt die Nutzer vor diesen Spam-Nachrichten, weil die Lösungen die bösartigen Dateien erkennt und alle damit in Zusammenhang stehenden URLs blockiert.

 

Ein Gedanke zu „Gefälschte Login-Warnung verteilt Backdoor

  1. Pingback: Google Drive- und Dropbox-User aufgepasst: Der Spion kommt durch die Hintertür | TBS-MULTIMEDIA VIDEO GRAPHIK DESIGN & INTERNET

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*