Malware nutzt öffentlichen Datei-Hosting-Dienst für gestohlene Daten

Originalartikel von Roland Dela Paz, Threat Response Engineer

Kürzlich entdeckte Trend Micro Schadsoftware, die MS Word- und Excel-Dateien von infizierten Systemen holt und diese auf die File Hosting Site sendspace.com hoch lädt. Diese Site bietet Nutzern einen Datei-Hosting-Dienst für das „Senden, Erhalten, Verfolgen und die gemeinsame Nutzung von großen Dateien“. Bereits Ende letzten Jahres hatten Hacker Sendspace dazu mißbraucht, um gestohlene Daten dort zusammen zu tragen und hoch zu laden.

Bei dem aktuellen Vorfall jedoch ist es das erste Mal, dass Malware für das Hochladen der gestohlenen Daten eingesetzt wurde. Der Angriff startet mit einer über den Trojaner TROJ_DOFOIL.GE infizierten Datei, Fedex_Invoice.exe. Der Dateiname lässt darauf schließen, dass es sich um eine Spam-Kampagne handelt, die als FedEx-Benachrichtigung getarnte Messages einsetzt. Die Sicherheitsforscher von Trend Micro suchen derzeit nach einem Muster einer solchen Spam-Nachricht. Der Trojaner lädt einen weiteren (TSPY_SPCESEND.A) so genannten “Grab and Go” Trojaner herunter, der das lokale Laufwerk des infizierten Computers nach Word- und Excel-Dateien absucht. Die auf diese Art gesammelten Dokumente werden archiviert und mit einem zufallsgenerierten Kennwort geschützt. Nachfolgend ein Beispiel eines solchen Archivs:

Danach schickt der Schädling das Archiv an Sendspace.com.



Der Schädling schickt dann den Sendspace Download-Link mit dem generierten Kennwort an den C & C-Server.

Es handelt sich um einen schlauen Schachzug der Kriminellen, die auf diese Weise keinen Server aufsetzen müssen, um große Mengen gestohlener Daten zu speichern.

Trend Micros Solutions Evangelist Ivan Macalintal sieht in dieser Technik einen neuen Trend: “Bislang haben wir Dropsites für gestohlene Daten vor allem in Domänen gefunden, die den Kriminellen selbst gehörten. Jetzt aber, nutzen sie legale ‚Clouds‘ dafür, wo sie die Daten ablegen und wieder holen können“, stellt er fest.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, denn die Reputationsdienste erkennen und blockieren die bösartigen Dateien und die URL des C & C-Servers.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*