Hintertür führt zu Facebook- und Multiprotokoll-IM-Wurm

Originalartikel von Anthony Joe Melgarejo, Threat Response Engineer

Ein neuer Angriff über Facebook und verschiedene Instant Messaging (IM)-Anwendungen führt einen Hintertürschädling (BKDR_LIFTOH.DLF) im Gepäck. Die Malware verbreitet sich über zwei Würmer, wovon der eine eine neue Variante der berüchtigten DORKBOT-Familie darstellt.

DORKBOT ist bekannt dafür, dass er sich über soziale Medien und Instant Messaging-Applikationen wie Skyper und mIRC verbreitet. Jetzt sind noch Multiprotokoll-IM-Apps wie Quiet Internet Pager und Digsby hinzugekommen. Digsby unterstützt AIM, MSN, Yahoo, ICQ, Google Talk, Jabber und Facebook, während über Quiet Internet Pager mindestens vier verschiedene IM-Dienste genutzt werden können. Damit könnte die Schadsoftware potenziell mehr Nutzer erreichen.

Der Wurm (WORM_DORKBOT.SME) verschickt verkürzte URLs an die Kontakte, die er im IM-Client der infizierten Systeme findet. Die URLs zeigen auf eine Datei, bei der es sich um eine aktualisierte Kopie von DORKBOT handelt, die auf die Datei-Hosting Website Mediafire hochgeladen wurde. Damit wollen die Kriminellen wahrscheinlich die Entdeckung und das einfache Entfernen der Malware vom System vermeiden. Berüchtigt ist DORKBOT auch für seine Fähigkeiten, über das Einhaken von APIs in bestimmte Browser Anmeldedaten zu entwenden.

WORM_DORKBOT.SME wird über den Hintertürschädling BKDR_LIFTOH.DLF heruntergeladen. Den Befehl, weitere Malware herunterzuladen und auszuführen erhält der Backdoor von seinem C&C-Server. Der Befehl enthält auch die URL, woher der Download erfolgen soll. Bei den aktuellen Angriffen wird die Datei auf Hotfile hochgeladen.

Dieser Hintertürschädling besitzt auch die Fähigkeit, seine Konfiguration vom C&C-Server zu bearbeiten.

Abbildung 1. BKDR_LIFTOH.DLF-Konfiguration

Der Screenshot zeigt, dass die Konfiguration aus den C&C-Servern, Verbindungs-Timeout, maximale Anzahl von Verbindungsversuchen und der Malware Build-Version besteht. Die Schadsoftware kann zwischen verschiedenen C&C-Servern wechseln, um nicht erkannt zu werden. Das buildid-Feld enthält den Wert „build1“, das heißt, es handelt sich um die erste Version des Schädlings und weitere werden bald folgen.

Der Backdoor lädt auch einen weiteren Wurm WORM_KUVAA.A herunter, der nach c_user– und xs Facebook-Cookies auf dem infizierten System sucht, um die Authentifizierung für Facebook zu vermeiden. Danach sucht er nach den folgenden Browsern oder Anwendungen, falls diese im Hauptspeicher laufen:

  • Safari
  • Opera
  • Internet Explorer
  • Firefox
  • Chrome
  • Facebook Messenger

Abbildung 2. Verwendung von Facebook-Fähigkeiten, c_user- und xs-Ccookies sowie fb_dtsg

Die Schadsoftware nutzt den Anti-CSRF (Cross-site request forgery)-Token, fb_dtsg, um Spamnachrichten an die angemeldeten Freunde des Opfers zu verschicken. Die Nachricht enthält die URL, wo die Kopie des Schädlings zusammen mit einem sugestiven Bild in 11 verschiedenen Sprachen heruntergeladen werden kann.

Abbildung 3. Kopie der Spamnachricht in Facebook


Abbildung 4. Nachrichten in verschiedenen Sprachen

IM-Würmer sind nichts Neues mehr, dennoch setzen Cyberkriminelle sie weiterhin ein und verfeinern die Techniken zusätzlich.

Trend Micro-Anwender sind über das Smart Protection Network vor dieser Bedrohung geschützt, denn die Sicherheitsinfrastruktur erkennt die bösartigen Dateien und blockiert die damit in Verbindung stehenden URLs.

Zusätzliche Analysen und Screenshots von Rhena Inocencio und Almond Rejuso, Threat Response Engineers

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*