Neue FAREIT-Variante missbraucht PowerShell

Originalbeitrag von Trend Micro (Ian Lagrazon und Jaaziel Carlos)

2014 begannen Angriffe, die die Windows PowerShell missbrauchten. Das war für die damalige Zeit sehr ungewöhnlich. Doch gibt es für einen Angreifer verschiedene Gründe, diese Scripting-Technik einzusetzen.
Zum Einen können Nutzer nur schwer ein bösartiges Verhalten erkennen, da PowerShell im Hintergrund läuft. Außerdem kann PowerShell dazu missbraucht werden, Nutzernamen, Kennwörter und andere Systeminformationen zu stehlen, ohne dass eine ausführbare Datei dafür benötigt wird. Diese Möglichkeit macht es für Angreifer, die unentdeckt bösartige Aktionen ausführen wollen, sehr attraktiv.

Im März entdeckten die Sicherheitsforscher, dass PowerWare Crypto-Ransomware auch die PowerShell missbraucht. Kürzlich nun gab es einen neuen Angriff, bei dem PowerShell als Überbringer einer FAREIT-Variante ausgenutzt wurde. Diese Familie von Informations-Stealer gibt es seit 2011.

Wie schon die Vorgänger, wird diese neue FAREIT-Variante über bösartige Mail-Anhänge verteilt.

Bild 1. FAREIT-bezogene Spam-Mails nutzen typische Betreff-Zeilen wie Mahnungen für Rechnungen und Bestellungen

Bild 2. Dokument mit bösartigem Makro


Bild 3. Bösartiges PDF missbraucht Windows PowerShell

Nach dem Öffnen des bösartigen PDF-Anhangs führt die Datei Windows PowerShell über die OpenAction aus und damit die bösartige Routine. Dies führt zum Herunterladen von TSPY_FAREIT auf das System, um dort eine Vielzahl von Informationen wie Nutzernamen und Kennwörter in bestimmten Browsern, Mail-Anmeldedaten oder Bitcoin-bezogene Daten zu stehlen.

Zum Anderen legt ein bösartiges Makro, das sich in einem infizierten Word-Dokument befindet, TSPY_FAREIT ab und führt die Schadsoftware aus.

Sicherheit für die Daten

Der Unterschied zwischen FAREIT und PowerWare besteht darin, dass letztere zuerst Makros nutzt und dann PowerShell ausführt, wo sich die Parameter für den bösartigen Coder befinden. FAREITs bösartiges PDF wiederum nutzt das OpenAction-Ereignis, um PowerShell direkt auszuführen.

Cyberkriminelle haben unabhängig voneinander gezeigt, wie effizient diese Taktiken sind, sei es für Social Engineering-Zwecke, sei es für weitere Infektionen. Makros bedürfen üblicherweise der Aktion des Nutzers, doch mit effizienten Ködern können sie die Nutzer austricksen und die Schadsoftware ausführen.

Endpoint-Lösungen wie Trend Micro™ Security, Smart Protection Suites und  Trend Micro Worry-Free™ Business Security schützen gegen Bedrohungen wie FAREIT. Auch TippingPoint grenzt mit seinen Filtern das Risiko durch die Bedrohung ein:

  • 9536: Backdoor: Zeus Botnet Command and Control Phone Home Request
  • 16662: HTTP: Possible Malware Communication Attempt

Zusätzliche Analysen von Jack Tang

Dies sind die dazugehörigen SHA1 Hashes:

  • ACAEB29ABF2458B862646366917F44E987176EC9: PDF_FAREIT.AK
  • CFD1A77155B9AF917E22A8AC0FE16EEB26E00C6E: PDF_FAREIT.BYX
  • DA3B7C89EC9CA4157AF52D40DB76B2C23A62A15E: PDF_FAREIT.BYX
  • 03798dc7221efdcec95b991735f38b49dff29542: W2KM_FAREIT.ALB
  • 04FFFC28BED615D7DA50C0286290D452B9C5EE50: TSPY_FAREIT.YYSUT
  • 125156E24958F18AD86CC406868948DC100791D4: TSPY_FAREIT.YYSUT
  • 4F739261372D4ADCE7F152F16FBF20A5C18B8903: TSPY_FAREIT.YYSUT

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*