Die fiesesten Tricks der Virenschreiber

Eine Bedrohungsforscherin zeigt, mit welchen Dateitypen und technischen Mitteln die Spammer und Virenschreiber ihre Opfer zum fatalen Klick animieren.

von Patricia (F-Secure) 28.05.2019

Malware-Autoren bevorzugen in ihren Kampagnen in der Regel bestimmte Arten von Dateianhängen, um schädliche Inhalte zu verbreiten. Während der routinemässigen Überwachung der Bedrohungslandschaft stellte F-Secure in den letzten drei Monaten einige interessante Muster fest zu den in verschiedenen Kampagnen verwendeten, angehängten Dateitypen.

Im Februar und März dieses Jahres beobachtete das Lab riesige Spam-Kampagnen, in denen .zip-Dateien zum Versenden von GandCrab-Ransomware und .doc- und .xlsm-Dateien (also Word- und Excel-Dateien) zum Verteilen von TrickBot-Banking-Trojanern verwendet wurden. Im selben Zeitraum gab es eine ähnlich grosse Kampagne für Phishing gegen American-Express-Kunden und einen «Gewinner»-Betrug. Beide verwendeten PDFs als Dateianhänge.

Aktuell gibt es auch einen neuen Trend bei der Verbreitung von Malware in Form von Disc-Image-Dateien (.iso und .img). Einige kleine Kampagnen vertreiben so den AgentTesla InfoStealer und NanoCore RAT. Aufgezeichnete Spam-Feeds zeigen, dass Malware-Autoren eine Vielzahl von Dateitypen als Anhang verwenden, um Hintergrundinformationen oder Kontextinformationen bereitzustellen:

Anteil der in Schädlingsmails verwendeter Dateitypen Anteil der in Schädlingsmails verwendeter Dateitypen Zoom© f-secure.com

Betrachtet man die Feeds jedoch als Zeitdiagramm, wird deutlich, dass .zip-, PDF- und MS-Office-Dateien, wie .doc- und .xlsm-Dateianhänge, häufiger in umfangreichen Spam-Kampagnen verwendet wurden.

Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen Zoom© f-secure.com

.zip-Dateien beinhalten meist GandCrab-Ransomware

Im Februar und März registrierte F-Secure besonders grosse Spam-Kampagnen mit ZIP-Dateien, in denen sich GandCrab-Ransomware versteckte. Die Dateien wurden in Sachen Dateinamen so getarnt, dass sie aussehen, als würden nur harmlose Fotos verschickt.

In solchen Mails mit Zip-Anhang traf die GandCrab-Ransomware ein. Die Dateinamen waren so gestaltet, dass man darin Bilder vermuten könnte In solchen Mails mit Zip-Anhang traf die GandCrab-Ransomware ein. Die Dateinamen waren so gestaltet, dass man darin Bilder vermuten könnte Zoom© f-secure.com

Die .zip-Datei enthält allerdings einen versteckten JavaScript-Downloader, der ein PowerShell-Skript ausführt, mit dem dann im zweiten Schritt die GandCrab-Ransomware-Binärdatei heruntergeladen und ausgeführt wird.

So sah das JavaScript-Element aus, welches den eigentlichen Schädlingsteil aus dem Internet nachladen konnte So sah das JavaScript-Element aus, welches den eigentlichen Schädlingsteil aus dem Internet nachladen konnte Zoom© f-secure.com

Nachdem das eigentliche Schädlingsprogramm (Fachbegriff: Payload) erfolgreich heruntergeladen und ausgeführt wurde, verschlüsselt jenes den Computer des Opfers und zeigt folgende Ransomware-Notiz an:

Eine solche Erpressernotiz bekommen Opfer des Erpressungstrojaners GandCrab zu sehen Eine solche Erpressernotiz bekommen Opfer des Erpressungstrojaners GandCrab zu sehen Zoom© f-secure.com

Nächste Seite: In .doc- und .xlsm-Dateien steckt meist der TrickBot-Banktrojaner

In DOC- und XLSM-Dateien versteckt sich meist TrickBot

Im März beobachtete F-Secure massive Spitzen bei Spam-Kampagnen, bei denen .doc- und .xlsm-Dateien (wieder: Word- und Excel-Dateien) zur Auslieferung der Malware TrickBot verwendet wurden – einem modularen Banktrojaner. Allerdings wurde TrickBot in den neuen Versionen aufgerüstet und stiehlt nun beispielsweise auch Passwörter und mehr.

Der TrickBot-Banktrojaner trifft bevorzugt in Word- oder Excel-Dateien mit Makros ein Der TrickBot-Banktrojaner trifft bevorzugt in Word- oder Excel-Dateien mit Makros ein Zoom© f-secure.com Klicken Sie bei unverlangt per Mail erhaltenen Word- und Excel-Dateien niemals auf etwas wie «Makros aktivieren» oder «Bearbeitung aktivieren» Klicken Sie bei unverlangt per Mail erhaltenen Word- und Excel-Dateien niemals auf etwas wie «Makros aktivieren» oder «Bearbeitung aktivieren» Zoom© f-secure.com

Die oben gezeigten Dateianhänge im Office-Format enthalten ein böswilliges Makro, das die Angriffsdateien mit dem Microsoft-eigenen, ansonsten für harmlose geplante Upload- und Download-Jobs verwendete BITSAdmin-Tool herunterlädt und ausführt.

Der TrickBot-Banktrojaner benutzt das Windows-Bordmittel BITSAdmin, um die Schaddateien nachzuladen und zu starten Der TrickBot-Banktrojaner benutzt das Windows-Bordmittel BITSAdmin, um die Schaddateien nachzuladen und zu starten Zoom© f-secure.com

Nach erfolgreichem Download und der Ausführung startet TrickBot, wie im Beispiel, die Ausführung und erstellt Module auf dem PC des Opfers:

Der TrickBot-Banktrojaner erzeugt die schädlichen Module Der TrickBot-Banktrojaner erzeugt die schädlichen Module Zoom© f-secure.com

Gezielte Phishing-Angriffe mit PDF-Dateien

Die Grafik mit den registrierten Attacken zeigt bei der höchsten Spitze einen Angriff, bei dem PDFs als verseuchter Anhang genutzt wurden. Diese im März ausgeführte Phishing-Kampagne zielte speziell auf Kunden von American Express.

Mit solchen Mails sollten «American Express»-Kunden abgephisht werden Mit solchen Mails sollten «American Express»-Kunden abgephisht werden Zoom© f-secure.com

Sobald die PDF-Datei geöffnet wird, sieht der Nutzer eine Nachricht mit einem Link. Die Nachricht stamme – so behauptet der Text in der Mail – von einem Kundensicherheitsteam der American Express Business Card und soll zu einer «sicheren Nachricht» führen.

Die Mails enthielten eine PDF-Datei mit einem angeblich sicheren Link, der aber auf das Phishing-Portal der Angreifer führte Die Mails enthielten eine PDF-Datei mit einem angeblich sicheren Link, der aber auf das Phishing-Portal der Angreifer führte Zoom© f-secure.com

Der dargestellte Link enthält eine mittels Linkkürzungsdienst verkürzte URL, die das Opfer zu einer gefälschten Webseite beim bekannten Hoster «GoDaddy» führt. Das mit den Linkkürzern ist ein beliebter Trick, der auch bei vielen anderen Phishing-Kampagnen genutzt wird, um an die Bank-Login-Daten der Nutzer zu gelangen. Das untere Beispiel zeigt eine ähnliche Kampagne, die auch eine verkürzte URL als Phishing-Link verwendet, bei der die gefälschte Webseite auf die Nutzer der Bank of America abzielt.

Eine ähnliche (gefälschte) Phishing-Webseite im Design der «Bank of America» hat hier das Ziel, an Login-Daten von BoA-Kunden zu kommen
Eine ähnliche (gefälschte) Phishing-Webseite im Design der «Bank of America» hat hier das Ziel, an Login-Daten von BoA-Kunden zu kommen Zoom© f-secure.com

Nächste Seite: Lotterie-Betrugsversuche mittels PDF – und Google. Ausserdem: Auch Dateitypen .iso und .img werden für Schädlingstransport benutzt

Betrugsversuche per PDF mit der «Google-Gewinner»-Lüge

Die am zweitstärksten registrierte Betrugs-Kampagne, bei der ein PDF-Dateianhang verwendet wurde, ist ein «Lotteriegewinn»-Betrug mit Google als vermeintlichem Absender:

Auch Googles Name und Logo wird für Betrügereien missbraucht: Hier eine PDF-Datei, in der fürs Abholen eines angeblichen Lotteriegewinns vielerlei persönliche Daten fällig gewesen wären Auch Googles Name und Logo wird für Betrügereien missbraucht: Hier eine PDF-Datei, in der fürs Abholen eines angeblichen Lotteriegewinns vielerlei persönliche Daten fällig gewesen wären Zoom© f-secure.com

Das Fake-Gewinnerschreiben fordert das Opfer auf, personenbezogene Daten anzugeben, wie vollständigen Namen, Adresse, Land, Nationalität, Telefonnummer, Handynummer, Beruf, Alter, Geschlecht und private E-Mail-Adresse. Solche Daten sind für den Angreifer Gold wert, denn damit kann der Kriminelle künftige Betrugs-, Phishing- und Schädlings-Mails an das Opfer noch persönlicher gestalten. Das erhöht die Chancen, dass das Opfer (erneut) darauf hereinfällt.

Die «Neuen» in der Inbox: .iso- und .img-Dateien

.iso- und .img-Dateien, bekannt als Abbild-Dateien von CDs und DVDs, sind bei Spam-Kampagnen noch nicht als verwendete Dateitypen in der Spitzengruppe zu finden. Allerdings registriert F-Secure seit Juli 2018 einen gewissen Trend beim Einsatz dieser Dateitypen als Malware-Transportmittel. Bei den meisten bekannten Kampagnen, die solche Dateiformate mit sich führten, wurden die Angreifer AgentTesla InfoStealer und NanoCore RAT eingesetzt.

In letzter Zeit sind sogar Image-Dateien (.iso und .img) benutzt worden, die sonst als Datenträger-Abbilder verwendet werden In letzter Zeit sind sogar Image-Dateien (.iso und .img) benutzt worden, die sonst als Datenträger-Abbilder verwendet werden Zoom© f-secure.com

In einer erst vor Kurzem aufgespürten Spam-Kampagne hat F-Secures Lab zwei Arten von Anhängen gesichtet: Ein böswilliges Office-Dokument und eine ISO-Image-Datei – beide installieren einen AgentTesla-Infostealer.

In dieser Mail lässt der Angreifer dem Nutzer die «Wahl», ob er den Schädling aus einer Word- oder .iso-Datei installieren will (Tipp: lieber gar nicht; solche Anhänge nicht öffnen!) In dieser Mail lässt der Angreifer dem Nutzer die «Wahl», ob er den Schädling aus einer Word- oder .iso-Datei installieren will (Tipp: lieber gar nicht; solche Anhänge nicht öffnen!) Zoom© f-secure.com

Das böswillige Dokument führt nach dem Öffnen ein Makro aus, um die eigentlich schädlichen Komponenten (in der Fachsprache als «Payload» bezeichnet) herunterzuladen und auszuführen.

Das Makro im Word-Dokument lädt den eigentlichen Schadcode (den «AgentTesla»-Infostealer) aus dem Netz und führt ihn aus Das Makro im Word-Dokument lädt den eigentlichen Schadcode (den «AgentTesla»-Infostealer) aus dem Netz und führt ihn aus Zoom© f-secure.com Die .iso-Datei enthält eine ausführbare Binärdatei, die ebenfalls den AgentTesla-Infostealer installiert Die .iso-Datei enthält eine ausführbare Binärdatei, die ebenfalls den AgentTesla-Infostealer installiert Zoom Während die ISO-Datei die schädliche Binärdatei enthält. Unabhängig davon, welchen der beiden angehängten Dateitypen ein Opfer öffnet: Es wird immer die Schad-Software AgentTesla installiert. Das ist ein Infostealer, der in der Lage ist, die System- und Anmeldeinformationen des Opfers von gängiger, installierter Software wie Browsern, E-Mail-Clients und FTP-Clients zu erfassen und zu übertragen.

Patricia (F-Secure)Über die Autorin: Patricia ist Bedrohungsforscherin im Virenlabor des finnischen Antivirenherstellers F-Secure. Dort hat sie viele Zahlen, technische Details und Screenshots darüber zusammengetragen, mit welchen Tricks und Dateitypen die Schädlingsverbreiter und Online-Erpresser derzeit arbeiten. In ihrem Blog-Beitrag, den wir mit freundlicher Genehmigung F-Secures übernehmen dürfen, macht sie uns viele der spannenden Erkenntnisse zugänglich.

Seite 1 von 3
       
       

Kommentare

  • donpedro1 28.05.2019, 17.06 Uhr

    Ich komme mir langsam vor, als müsste ich als Computer-Anwender täglich in ein Haifischbecken springen. Und da können all die teuren Virenabwehr-Apps nichts ausrichten? (Ich verwende und bezahle für AVIRA) Man staunt einfach nur, dass offenbar niemand in der Lage ist, diesem teuflischen Irrsinn ein Ende zu setzen. Klar mahnen Sie, dass solche Anhänge nicht geöffnet werden dürfen. Nur - manchmal gehts schnell beim öffnen, oder man übersieht etwas, oder weiss schlicht und einfach nichts davon.[...]

  • Gaby Salvisberg 29.05.2019, 10.28 Uhr

    Hallo donpedro1 Die meisten Virenscanner sollten wohl die meisten solcher Anhänge erkennen und wegfiltern können. Aber eben: Eine 100%-Sicherheit gibt es nicht. Herzliche Grüsse Gaby

  • tamaleus 02.06.2019, 09.59 Uhr

    Geht es nur mir so oder sind diese Grafiken nicht nur von schlechter Qualität, sondern auch derart klein, dass die Legenden, beispielsweise wie die mit der Überschrift "Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen" kaum noch und nicht mal mehr in der Vergrösserung zu lesen? Mit besten Grüssen Tamaleus

weitere Kommentare

Sie müssen eingeloggt sein, um Kommentare zu verfassen.