SASFIS Malware nutzt einen neuen Trick

Originalartikel von Joseph Cepe (Threats Analyst bei Trend Micro)

Anfang des Jahres erlangte der SASFIS-Trojaner  zweifelhafte Berühmtheit durch gefälschte E-Mails, die vorgaben, von Facebook zu stammen. SASFIS-Infektionen ziehen meist Mengen an weiteren Malware-Infektionen nach sich, denn diese Schädlingsfamilie macht die Systeme anfällig für Botnet-Angriffe, vor allem durch ZeuS und BREDOLAB. Außerdem ist der Schädling mit verschiedenen FAKEAV-Varianten, vor allem mit solchen, die auf Porno-Sites agieren, in Verbindung.

Der TrendLabs-Forscher Shih-Hao Weng entdeckte nun eine neue SASFIS-Variante, die die so genannte Right-to-Left Override (RLO) Technik nutzt. Bisher war die Technik für Spamming bekannt, doch nun hat sie sich zu einer neuen Social-Engineering-Taktik gemausert.

Dieser SASFIS-Trojaner wird über eine Spam-Nachricht mit einem RAR-Dateianhang verbreitet. Darin ist eine XLS-Datei enthalten, die wie ein echtes Excel-Dokument aussieht. Tatsächlich handelt es sich aber um einen Screensaver, den Trend Micro als TROJ_SASFIS.HBC identifiziert hat. Der Trojaner setzt BKDR_SASFIS.AC auf das System, einen Schädling, der es ermöglicht, Threads in den normalen svchost.exe-Prozess einzufügen.

Das gefälschte Excel-Worksheet hat einen Win32 binären Header der Art, wie ihn lediglich ausführbare Dateien haben. Der tatsächliche Dateinamen (ohne die chinesischen Zeichen) ist phone&mail).[U+202e}slx.scr, wobei U+202e den Unicode Control Character darstellt, der das System anweist, aufeinander folgende Zeichen von rechts nach links zu rendern. Dadurch scheint es dem Nutzer, dass der Name der Datei phone&mail).xls.scr ist, und er nimmt irrtümlicherweise an, es handele sich um eine Excel-Datei, die er gefahrlos öffnen kann.

Die Technik nutzt auch andere Dateinamen für denselben Zweck: so etwa BACKS[U+2020e]FWS.BAT und I-LOVE-YOU-XOX[U+2020e]TXT.EXE, die als BACKSTAB.SWF und I-LOVE-YOU-XOXEXE.TXT gerendert werden. Im ersten Beispiel wird eine Batch-Datei als Adobe Flash „verkleidet“, im zweiten Fall eine ausführbare Datei als Text.

Nutzer können sich vor diesen Angriffen auf ihre System über die üblichen Best Practices schützen – etwa indem sie keine verdächtig aussehenden E-Mails öffnen und keine ausführbaren Anhänge herunterladen. Die Trend Micro Anwender sind über das Smart Protection Network geschützt, denn der Email Reputation Service verhindert es, dass Spam-Nachrichten in der Inbox landen. Auch kann der File Reputation Service die bösartigen Dateien als Schädlinge erkennen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*