Firmenlink

ESET

 

Malware «Mozart» spielt DNS-Versteckis

Eine neue, Mozart getaufte Malware kommuniziert über das DNS-Protokoll mit seinen Auftraggebern. Dadurch kann sie sich gut vor herkömmlicher Security-Software verstecken.

von Jens Stark 27.02.2020

Security-Experten haben eine neue Backdoor-Malware entdeckt, die Mozart genannt wird. Noch ist wenig darüber bekannt, welche schädlichen Aktivitäten eigentlich mit Mozart beabsichtigt sind. Interessant ist allerdings die «Kommunikationsstrategie». Mozart spricht über das DNS-Protokoll mit den entfernten Angreifern und nicht wie üblich via HTTP/S.

Das DNS-Protokoll (Domain Name System) dient hauptsächlich der Übersetzung von Webadressen wie «www.pctipp.ch» in eine nummernbasierte IP-Adresse. Daneben können auch TXT-Einträge abgefragt werden, die dann kurze Textmitteilungen enthalten.

Die Hacker hinter Mozart haben sich nun diese Funktion, die eigentlich Verifizierungszwecken dient, zu eigen gemacht, um Befehle an die Malware zu schicken, wie Bleeping Computer basierend auf Informationen des IT-Security-Forschers Vitali Kremez von SentinelLabs berichtet. Dadurch lässt sich die Kommunikation zwischen Angreifer und Malware gut verschleiern und ist damit sicher vor der Entdeckung durch herkömmliche Security-Software.

Mehrstufige Installation

Verteilt wird Mozart durch PDF-Anhänge in Mails. In diesen findet sich ein Zip-File, das wiederum ein JavaScript enthält. Letzteres installiert eine auszuführende Datei auf dem Computer, die dann auch aktiviert wird. Das Programm installiert sodann die Datei «mozart.txt» und führt Vorbereitungen für die Einrichtung der eigentlichen Backdoor aus. Eine entsprechende ausführende Datei wird sodann mit einem zufälligen Namen erstellt und startet künftig jedes Mal, wenn der Rechner des Opfers gestartet wird.

Danach lassen sich offenbar Text-Befehle via DNS an Mozart schicken. Die Malware sendet dann korrespondierende Befehle aus. Allerdings ist es Kremez bislang offenbar nicht gelungen, einen Befehl zu schicken, auf den die Kommandozentrale der Angreifer reagiert hätte. Der Researcher geht daher davon aus, dass die Hacker noch daran seien, ein entsprechendes Botnet aufzubauen.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.