Outsourcing der Malware-Verteilung

Originalartikel von Ranieri Romera (Senior Threat Researcher bei Trend Micro)

Im Zuge einer kürzlich durchgeführten Analyse eines Malware-Musters fanden die Threat Researcher von Trend Micro auch den Online-Spitznamen des Autors heraus. Damit konnten sie den Ort ausfindig machen, woher er seine Schadsoftware anpries und anderen einen freien Zugang zum Sourcecode gewährte.

Der Text auf dieser Seite preist einige der Funktionen der Malware, wie etwa die Tatsache, dass sie unter Windows XP, Vista und Windows 7 funktioniert und Screenshots festhält. Auch werden die Banken und Browser aufgelistet, von denen die Malware Informationen stehlen kann. Eine Woche später stellte derselbe Kriminelle eine neue Version der Malware vor, die er Version 2.0 nannte. Er hatte ein neues Ziel (eine Firma zur Prüfung der Kreditwürdigkeit) hinzugefügt und auch die Möglichkeit, zwei Sicherheitsprogramme abzuschalten.

Wieder eine Woche später führte er e seine Ultimate Version ein. Er hatte darin mehrere Fehler korrigiert und konnte nun noch ein weiteres Sicherheitsprogramm ausschalten.

Die folgende Grafik zeigt einen Vergleich der betroffenen Institutionen und der Funktionen in allen drei Varianten:

Die Überprüfung des Quellcodes aller drei Versionen ergab, dass nicht alle Teile direkt zugänglich sind. Der ursprüngliche Autor hatte Teile des Codes in Delphi Compiled Unit (DCU) Dateien kompiliert – gemischte Dateien, die Code und Daten in einer separaten .PAS-Datei enthalten. Er nutzte den Low-Level-Code, um die Hauptroutinen seines Machwerks zu schützen oder zu verstecken. Die .PAS-Dateien im Paket dienen lediglich dazu, die E-Mail-Adresse einzufügen, an die die Daten der Opfer geschickt werden.
Doch was hat der ursprüngliche Autor davon, wenn er seine Software kostenlos weitergibt? Bei der Vorstellung der ersten Version machte er darauf aufmerksam, dass alle Daten, die die Malware sammelt und die für Banco Itau bestimmt waren, nicht nur an die Downloader gesendet werden, sondern auch an ihn selbst.
Die Pakete umfassen auch eine eingebettete .RES-Datei mit einer weiteren bösartigen Datei, die für jede Version unterschiedlich ist. Die erste Version nutzt TROJ_BANCOS.SER, Version 2.0 RTKT_BANKER.RAG und die Ultimate Version TROJ_KILLAV.PB. Alle drei versuchen, den Sicherheits-Plugin zu entfernen, den einige Banken in Brasilien zum Schutz ihrer Anwender beim Zugriff auf die Online-Seiten nutzen. Die beiden neuesten Schädlinge versuchen auch, das Auto-Update-Programm verschiedener Sicherheitslösungen auszuschalten.
Diese Erkenntnisse zeigen deutlich, dass der Kriminelle einen neuen Ansatz zur Malware-Verteilung gewählt hat. Er hat die Distribution an „rangniedrigere“ Kriminelle, sozusagen outgesourct und lässt diese sowohl die Binaries erstellen, die an die Opfer verteilt werden, als auch die tatsächliche „Kampagne“ führen, um sie zu verbreiten. Sein Profit dabei: Er bekommt einen Teil der gestohlenen Daten.
Für die Anwender heißt dies, dass sich künftig die Angriffe mehren werden, denn auch Möchtegern-Kriminelle können nun die „Verkaufstools“ kostenlos erwerben. Auch wenn diese nicht so raffiniert sind, wie die von erfahrenen Kriminellen, so wird die Menge der Bedrohungen den Nutzern dennoch Probleme bereiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*