Necurs mit neuen Herausforderungen durch IQY-Anhänge

Originalbeitrag von Jed Valderama, Ian Kenefick und Miguel Ang

Im letzten Bericht zur Necurs-Botnet Malware ging es um die Nutzung eines Internet Shortcut oder .URL-Datei, über die der Schädling die Entdeckung vermied. Doch mittlerweile haben die Autoren die Malware upgedatet. Die derzeitigen Funde belegen, dass die Malware-Autoren aktiv neue Mittel einsetzen, um den Sicherheitsmaßnahmen wieder einen Schritt voraus zu sein. In der aktuellen Spam-Welle des Botnets wird die Internet-Abfragedatei IQY genutzt, um der Entdeckung zu entgehen.

Necurs tauchte in den letzten Jahren immer wieder in verschiedenen Cyberangriffsberichten auf, einschließlich bei einem Vorfall 2017, im Rahmen dessen der Schädling Locky-Ransomware verbreitete. Der derzeitige Einsatz des IQY-Dateityps als ursprünglichem Infektionsvektor ist bemerkenswert. IQY-Dateien sind auch Textdateien mit einem bestimmten Format. Sie erlauben es Nutzern, Daten aus externen Quellen in ihre Excel-Tabellen zu importieren. Windows erkennt IQY-Dateien als MS Excel Web Query und führt sie automatisch in Excel aus.

Die Rolle der IQY-Dateien

Die neue Spam-Welle nutzt IQY-Dateianhänge. Der Betreff und Anhang enthält Begriffe zu Werbeaktionen, Angeboten und Preisnachlässen.

Bild 1. Beispiel-Mail mit IQY-Anhang

Sobald der Nutzer die IQY-Datei ausführt, schickt sie eine Abfrage an die im Code angegebene URL und legt Daten in Excel ab. Diese enthalten ein Skript, das Excels Dynamic Data Exchange (DDE) ausnutzt und einen PowerShell-Prozess startet, der dann eine ausführbare Datei, eine mit Trojaner versehene Remote Access-Anwendung und die endgültige Payload – die Backdoor FlawedAMMYY (BKDR_FlawedAMMYY.A) — herunterlädt.

In einer neueren Spam-Welle lädt das Skript vor der finalen Payload erst eine Image-Datei herunter. Dabei handelt es sich um einen getarnten Downloader (BKDR_FlawedAMMYY.DLOADR), der eine verschlüsselte Komponentendatei (BKDR_FlawedAMMYY.B) mit der Backdoor-Routine herunterlädt.


Bild 2. Infektionskette, die mit der angehängten IQY-Datei startet

Die Backdoor FlawedAMMYY führt die folgenden Befehle von einem schädlichen Remote Server aus:

  • File Manager
  • View Screen
  • Remote Control
  • Audio Chat
  • RDP SessionsService – Install/Start/Stop/RemoveDisable desktop Background
  • Disable Desktop Composition
  • Disable Visual Effects
  • Show Tooltip

Mit dieser zusätzlichen Schicht für die Vermeidung stellt Necurs eine neue Gefahr dar, denn Webabfragen sind generell Klartext, sodass die URL in der angehängten IQY-Datei der einzige Hinweis auf schädliche Aktivitäten darstellt. Darüber hinaus hat der Schädling dieselbe Struktur wie normale Web Queries. Daher sollte eine Sicherheitslösung zum Einsatz kommen, die bösartige URLs blocken kann.

Lösungen und Gegenmaßnahmen

Gegen Necurs und weitere Bedrohungen, die Spam einsetzen, hilft die strikte Anwendung von Sicherheitsprotokollen und Best Practices. So ist etwa besondere Vorsicht geboten beim Download und bei der Ausführung von ungewöhnlichen Anhängen. Microsoft weiß um den Missbrauch in DDE und hat deshalb zwei explizite Pop-up-Warnungen bei der Ausführung des IQY-Dateianhangs herausgegeben, sodass Nutzer sich die Aktion nochmals überlegen können.


Bild 3. Erste Pop-up Warnung


Bild 4. Zweite Pop-up Warnung

Als Schutz gegen Bedrohungen wie Necurs können Endpoint-Lösungen helfen wie Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced. Beide sind in der Lage, Anwender und Unternehmen zu schützen, indem sie bösartige Dateien und Spam-Nachrichten erkennen und alle damit in Zusammenhang stehenden URLs blocken. Trend Micro™ Deep Discovery™ Email Inspector bietet Schutz für Unternehmen, denn die Lösung erkennt bösartige Anhänge und URLs sowie Remote Skripts, auch wenn diese nicht auf einen physischen Endpunkt heruntergeladen werden.

Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie Ihr Netzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, GoogleApps sowie viele weitere gehostete und lokale E-Mail-Lösungen. E-Mail-Verschlüsselung ist in der Basisversion bereits enthalten.

Trend Micro™ OfficeScan™ mit XGen™ liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Indicators of compromise sind im Originalbeitrag enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.