Neu: Whitehole Exploit Kit tritt in die Stapfen von Blackhole

Originalartikel von Jonh Paul Chua, Threat Response Engineer

Die Vorhersage von Raimund Genes, Chief Technology Officer, 2013 werde es neue Tool-Kits für Exploits geben, hat sich bereits bewahrheitet. Whitehole Exploit Kit, so genannt, um es von Blackhole Exploit Kit (BHEK) zu unterscheiden, nutzt ähnlichen Code wie letzteres. Doch während BHEK JavaScript benutzt, um die Verwendung von plugindetect.js zu verschleiern, setzt Whitehole dies ohne Umschweife ein.

Die Trend Micro-Analyse der damit verbundenen Samples ergab, dass die Malware (JAVA_EXPLOYT.NTW) die folgenden Lücken ausnützt, um bösartige Dateien auf das System zu laden:

Vor allem fällt CVE-2013-0422 auf, denn diese Schwachstelle war auch in den Zero-Day-Sicherheitsvorfall involviert, be idem REVETON-Varianten verteilt wurden. Auch Toolkits wie Blackhole Exploit Kit und das Cool Exploit Kit nutzten die Lücke. Oracle hatte sofort reagiert und ein Software-Update veröffentlicht, das jedoch mit Skepsis aufgenommen wurde.

Die heruntergeladenen Dateien erkannte Trend Micro als BKDR_ZACCESS.NTW und TROJ_RANSOM.NTW. ZACCESS/SIRIEF-Varianten sind bekannte Bootkit-Schädlinge, die weitere Schadsoftware herunterladen und gefälschte Anwendungen auf die Systeme schieben. Diese Variante verbindet sich mit bestimmten Websites, um Informationen dahin zu schicken und zu erhalten. Die Malware beendet aber auch bestimmte Prozesse und lädt zusätzliche bösartige Dateien auf bereits infizierte Systeme.

Ransomware sperrt typischerweise Systeme solange, bis der Nutzer eine bestimmte Summe zahlt. Ein ausführlicher Report Police Ransomware Update zeigt, wie sich diese Art der Bedrohung entwickelt.

Das Whitehole Exploit Kit befindet sich angeblich noch in Entwicklung und läuft in einem Test-Modus. Doch die Cyberkriminellen verscherbeln es bereits und verlangen dafür zwischen 200 und 1800 US-$. Zu den Charakteristiken des Toolkits gehören auch die Fähigkeiten, Anti-Malware-Entdeckung zu umgehen, zu verhindern, dass Google Safe Browsing den Schädling blockiert und höchstens 20 Dateien gleichzeitig zu laden. In Anbetracht des derzeitigen Entwicklungsstandes kann man davon ausgehen, dass es noch erhebliche Änderungen in den nächsten Monaten geben wird.

Trend Micros Smart Protection Network schützt die Anwender, denn die Sicherheitsinfrastruktur erkennt die Java-Dateien und auch die heruntergeladenen Dateien und blockiert die damit verbundenen Websites. Auch schützt Trend Micros Deep Security DPI Regel 1004711 – Identified Malicious Java JAR Files die Systeme vor der Gefahr.

Mit zusätzlicher Analyse von Michael Cabel, Threat Response Engineer

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*