UPATRE nutzt Links zu Dropbox

Originalartikel von Maria Manly, Anti-Spam Research Engineer

Bedrohungen wie UPATRE entwickeln sich ständig weiter, so etwa mit Techniken, um Sicherheitslösungen zu umgehen. UPATRE ist als Downloader von Information Stealer wie ZeuS bekannt und verbreitet sich typischerweise über E-Mail-Anhänge. Kürzlich fanden die Trend Micro-Sicherheitsforscher einige Spam-Durchläufe, die den beliebten Speicherdienst Dropbox nutzten.
Der Spam-Angriff hatte eingebettete Links, die zum Herunterladen von UPATRE-Varianten führten. Das Neue an den Angriffen ist, dass TROJ_UPATRE über eine URL in einer E-Mail-Nachricht eingeführt wird. Ein Spam-Muster zeigte, dass der Schädling als eFax-Benachrichtigungsmail ankommt mit einem Link auf Dropbox in der Nachricht. Klickt ein ahnungsloser Nutzer den Link an, wird er auf eine Dropbox-URL umgeleitet, wo er eine bösartige Datei (TROJ_UPATRE.YYMV) herunterlädt. Beim Ausführen lädt sie eine ZBOT-Variante (TSPY_ZBOT.YYMV) herunter, die dann wiederum ein Rootkit (RTKT_NECURS.MJYE) ablegt. Die NECURS-Varianten können Sicherheitslösungen auf den infizierten Systemen ausschalten.


Bild 1. Sample der Spam-Mails


Bild 2. Rechtmäßige Kopie einer Mail-Nachricht von eFax

Ein zweites Sample gab vor, eine Mail mit einem Dropbox-Link zu sein, der von der NatWest Bank kommt und einen Kontoauszug umfasst – tatsächlich ist es TROK_UPATRE. Die Infektionskette gleicht der bereits beschriebenen. Auch dieser Spam-Angriff nutzt die Namen legaler Unternehmen wie Lloyds Bank, eFax, Intuit, BBB und Skype.

Dropbox ist über die Angriffe informiert worden und hat auch die Liste mit den betroffenen Konten, die anscheinend Malware hosten, erhalten.

Bereits im letzten April berichteten die Sicherheitsforscher von Trend Micro über Spam-Nachrichten mit Steuer-Betreff, die dieselbe Infektionskombination aus UPATRE, ZBOT und NECURS aufwiesen. UPATRE scheint die Top-Malware zu sein, die über Spam zwischen Januar und Mai dieses Jahres verbreitet wurde.


Bild 3. Top 5 Schädlinge, die über Spam-Mails 2014 verbreitet wurden

Ein paar Tage nach UPATRE fanden die Sicherheitsforscher eine weitere Spam-Mail, die eine bösartige Datei von Dropbox herunterlädt.


Bild 4. Beispiel einer Spam-Mail, die zu einer CryptoLocker-Variante – Cryptowall — führt

Hier tarnt sich die Mail als Anruf und die Payload ist eine CryptoLocker-Variante, nämlich Cryptowall (TROJ_CRYPWALL.D). Der Schädling öffnet direkt eine TOR-Webseite, die eine Zahlung fordert.

 

Mit Analysen von Maydalene Salvador und Rhena Inocencio

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .