In Brasilien steigt die Aktivität bösartiger Skripte

    Vor einem Jahr verzeichneten ESET-Spezialisten die höchste Aktivität von zwei Arten von Schadprogrammen in Brasilien - Banking-Trojaner und ihre Downloader (Downloader). Downloader sind ausführbare Dateien in kompakter Größe, die sich darauf spezialisiert haben, die ausführbare Hauptdatei eines Banking-Trojaners in ein kompromittiertes System zu laden. Heute ist die Situation dieselbe, aber mit einigen Änderungen, insbesondere der Liste der aktivsten Bedrohungen Brasiliens, enthält die Liste der schädlichen Java-JAR-Dateien sowie Visual Basic-Skripte und JavaScript-Skripte.



    Somit ist ersichtlich, dass bösartige Skriptdateien bei Cyberkriminellen in dieser Region sehr beliebt geworden sind. In diesem Beitrag werden wir uns einige schädliche Skripte sowie die Mechanismen ihrer Arbeit ansehen. Solche Skripte werden auch von Angreifern als Downloader verwendet, bieten Angreifern jedoch ein flexibleres Verteilungsschema, da sie einfach in Webseiten integriert werden können.

    Wenn wir uns die Statistiken zur Verbreitung von Malware in Brasilien für die ersten fünf Monate des Jahres 2016 ansehen, werden wir unter ihnen böswillig verschleierte Skripte mit einer gemeinsamen (generischen) Art der Erkennung sehen. Trotz der Tatsache, dass die von ihnen geladene Nutzlast variieren kann, werden wir feststellen, dass ein Zusammenhang zwischen Entdeckungen dieser Art und Bankentrojanern besteht. Beachten Sie, dass andere Schadprogramme in der Tabelle der häufigsten Bedrohungen Brasiliens in verschiedenen Programmiersprachen geschrieben sind.



    Spezialisten aus unserem Antivirenlabor in Lateinamerika haben die Verwendung des legitimen MEO-Cloud-Dienstes zum Hosten von Malware-Dateien beobachtet. In den meisten Fällen handelte es sich um Bank-Trojaner. Als Verteilungsvektor wurden Phishing-E-Mails ausgewählt, die einen Link zum Herunterladen von Malware enthielten.

    Betrachten Sie als Beispiel ein bösartiges Skript namens Boleto_NFe_1405201421.PDF.js, das von ESET-Antivirenprodukten als VBS / Obfuscated.G erkannt wird .

    Trotz der Tatsache, dass der Skriptcode verschleiert ist, ist die dafür verwendete Methode recht einfach. Auch ohne Entschlüsselung können wir sehen, dass die als Bild getarnte Datei unter der angegebenen URL in das ProgramData-Verzeichnis mit dem Namen flashplayer.exe geladen und dann ausgeführt wird.



    Die Datei flashplayer.exe ist wiederum ein Downloader für Banking-Trojaner, der eine dritte Datei namens Edge.exe herunterlädt und startet. Diese dritte Datei wird von unseren AV-Produkten als Win32 / Spy.KeyLogger.NDW erkannt;; Trotz des Namens dieser Entdeckung enthält sie neben der Aufzeichnung von Tastenanschlägen auch die Funktionen eines Bankentrojaners. Unter seinen vielen Funktionen erhält es auch die Adressen der vom Benutzer besuchten Websites und überprüft sie mit seiner Liste von Online-Banking-Websites unter Verwendung des DDE- Mechanismus (Dynamic Data Exchange). Wir haben bereits in früheren Kampagnen die Verwendung dieser Methode durch Trojaner aufgezeichnet. Der Unterschied zwischen diesem und den vorherigen Fällen besteht darin, dass der Trojaner diesmal darauf abzielt, eine Vielzahl von Webbrowsern zu kompromittieren.



    Die Zeilen in der Datei werden mit einem Algorithmus verschlüsselt, der auf einer einfachen XOR-Operation basiert. Einige dieser Linien sind in der folgenden Abbildung dargestellt. Aus ihnen geht hervor, dass sich der Trojaner darauf spezialisiert hat, die Anmeldeinformationen brasilianischer Online-Banking-Websites zu stehlen.



    Die obigen Bedrohungsstatistiken zeigen, dass Angreifer in Brasilien auf neue Plattformen und Programmiersprachen umsteigen, um zu verhindern, dass Antivirenprodukte ihren Schadcode erkennen. Die Ziele der Angreifer haben sich jedoch nicht geändert, und der Diebstahl von Online-Banking-Informationen ist nach wie vor die vorteilhafteste und daher häufigste Angriffsform.

    Legitime Cloud-Speicherdienste wurden auch von Cyberkriminellen zum Hosten von JavaScript-Malware verwendet, die zu den zehn aktivsten Bedrohungen in Brasilien zählt. Insbesondere haben wir dort viele schädliche Dateien gefunden, die von ESET AV-Produkten wie Java / TrojanDownloader.Banload.AK erkannt werden .

    Diese Dateien sind vom Typ .jar mit Namen wie Boleto_Cobranca, Pedido_Atualizacao oder Imprimir_Debitos. Nach dem Dekompilieren des Codes erhalten wir ihn in einer verschleierten Form mit sehr langen Namen von Variablen und Methoden.



    Trotz der Verschleierung können wir mehrere Namen der importierten Funktionen in der Datei sehen. Die letzten fünf importierten Klassen beziehen sich auf Verschlüsselungsvorgänge, da sie den symmetrischen DES-Algorithmus verwenden. Wenn wir also die dort verwendeten Entschlüsselungsmethoden bestimmen und auch die Namen von Methoden und Variablen durch verständlichere ersetzen können, erhalten wir den folgenden Code wie in der folgenden Abbildung.



    Der zum Entschlüsseln von Zeichenfolgen verwendete Schlüssel ist der Name der Java-Klasse. Daher, wenn wir den Hauptmethodencode für uns selbst anpassenMalware können wir die Zeilen in seinem Körper entschlüsseln. Wir können die Hauptklasse analysieren, um nach diesen Zeilen zu suchen, und sie dann an unseren geänderten Code übergeben, um den Entschlüsselungsprozess durchzuführen. Unten finden Sie entschlüsselte Zeichenfolgen und ihre verschlüsselten Gegenstücke.



    Im obigen Screenshot haben wir die IP-Adresse des Servers hervorgehoben, über den das Schadprogramm mit ihm kommuniziert. Bitte beachten Sie, dass sich die Adresse des Remote-C & C-Servers in verschiedenen Beispielen der von uns analysierten Malware ändert. Als Nächstes wird eine Datei in Visual Basic Script erstellt, die vom Interpreter cscript.exe ausgeführt wird.

    Es ist erwähnenswert, dass die von uns analysierten Malware-Dateien mehr Funktionen enthielten, die anhand der Namen der importierten Klassen identifiziert werden konnten. Eine der interessantesten Funktionen der Malware ist die Fähigkeit, eine virtualisierte Umgebung zu erkennen. Wenn eine solche Umgebung erkannt wird, wird die Ausführung von Schadcode beendet. Einige andere importierte Funktionen sind auf das Herunterladen von Dateien aus dem Internet spezialisiert, was auch im Rest der Importe zu sehen ist.



    Wie oben erwähnt, wurden die von ihnen verfolgten Ziele trotz der Tatsache, dass Angreifer verschiedene Programmiersprachen verwenden, nicht geändert. Zwei von uns analysierte Bootloader wurden auf einem portugiesischen Datenspeicherdienst gehostet. Wir haben jedoch auch einen anderen Bootloader entdeckt, der auf einem anderen Cloud-Dienst gehostet wurde. Dieser neueste Bootloader wurde in Visual Basic Script geschrieben.

    Alle diese Bedrohungen verwenden dieselbe Verteilungsmethode - betrügerische E-Mails, die sich als legitime E-Mails von Banken tarnen. Nachdem wir diese .vbs-Datei erhalten haben, sehen wir, dass sie verschleiert ist.



    Die Hauptfunktion des Skripts wird im hexadezimalen Codierungsformat dargestellt und mit der XOR-Operation verschlüsselt. Wir haben das ursprüngliche Erscheinungsbild dieses Visual Basic-Skriptcodes wiederhergestellt. Er ist spezialisiert auf das Herunterladen eines Archivs, das mit einem Passwort versehen ist. Dieses Archiv wird von einer anderen herunterladbaren Skriptanwendung namens 7za.exe entpackt. Diese Anwendung ist nicht böswillig, sondern dient lediglich zum Extrahieren der ausführbaren Datei aus dem heruntergeladenen ZIP-Archiv. Nach dem Extrahieren der ausführbaren Datei wird sie zur Ausführung gestartet.



    Der portugiesische Kommentar "link do seu do modulo" im Quellcode-Snippet kann als "Link zu Ihrem Modul" übersetzt werden. Dieser Kommentar führt uns zu der Idee, dass das Skript mit einem speziellen Skriptgenerator erstellt wurde oder dass der Code aus einer anderen Quelle kopiert wurde.

    Eine von einem schädlichen Skript extrahierte und gestartete Datei wird von ESET AV-Produkten als Win32 / Packed.Autoit.R erkannt . So können wir die Vielfalt der Programmiersprachen sehen, die von Angreifern verwendet werden. Dieses Autoit-Skript lädt den Code eines Banking-Trojaners in den Speicher. Der Trojaner-Prozess selbst startet im Suspend-Modus und sein Image wird im Speicher durch ein Schadprogramm ersetzt. Anschließend wird die Codeausführung fortgesetzt (diese Technik wird als RunPE bezeichnet).

    Eine ausführbare Datei, die in den Prozessspeicher eingebettet ist, wird von ESET AV-Produkten als Win32 / Spy.Banker.ACSJ erkanntund ist ein in Delphi geschriebener Bankentrojaner (das sehen wir normalerweise in Brasilien). Sein Körper enthält auch verschlüsselte Zeichenfolgen, für die er einen eigenen Entschlüsselungsalgorithmus verwendet, wie im Fall des zuvor erwähnten Trojaners, der vom Loader in JavaScript installiert wurde.

    Wir werden die Details der Implementierung dieses Banking-Trojaners nicht diskutieren. Wir weisen jedoch darauf hin, dass er die oben genannte DDE-Methode nicht verwendet, wie dies der vom JavaScript-Downloader installierte Trojaner tut. Stattdessen werden Funktionen aus der Bibliothek oleaut32.dll importiert, die die automatische Ausführung böswilliger Aufgaben ermöglichen, wenn ein Opfer erkannt wird, das bestimmte Bankwebsites mit dem Internet Explorer-Browser besucht. Wenn ein Opfer eine dieser Websites durchsucht, lädt der Banking-Trojaner ein gefälschtes Formular mit Bildern herunter, die denen auf den Webseiten legitimer Websites sehr ähnlich sind, um die Anmeldeinformationen eines Online-Banking-Kontos zu erhalten.



    Wir haben es geschafft, die oben genannten Bedrohungen, die in mehreren Programmiersprachen oder Plattformen entwickelt wurden, mit derselben Kampagne zu verbinden. Man kann sich nur fragen, wie viele verschiedene Methoden und Ressourcen Cyberkriminelle verwenden, um ihre Bedrohungen in Brasilien zu verbreiten. Trotz der Tatsache, dass die letzte Phase dieser Angriffe die Installation eines in Delphi geschriebenen Bankentrojaners ist, sehen wir auch eine Aktualisierung des Codes dieses Trojaners. Ein solches Update ermöglicht es Cyberkriminellen, die neuen Schutzfunktionen der brasilianischen Banken rechtzeitig zu überwinden.

    Kompromissindikatoren (IoC)

    SHA-1: 8ceaae91d20c9d1aa1fbd579fcfda6ecfdef8070
    Dateiname: Boleto_NFe_1405201421.PDF.js Erkennungsname
    : VBS / Obfuscated.G

    SHA-1: 016bd00789c69f
    Dateiname: flashplayer.exe
    Erkennungsname: die Win32 / TrojanDownloader.Banload.XGT

    der SHA-1: c4c4f2a12ed69b95520e5d824854d12c8c4f80ab
    Dateiname: Edge.exe
    Erkennungsname: die Win32 / Spy.KeyLogger.NDW

    die SHA-1: 2c8385fbe7c4a57345bf72205a7c963f9f781900
    Dateiname: Imprimir_Debitos9874414541555.jar
    Name Erkennung : der Java / TrojanDownloader.Banload.AK

    der SHA-1: 363f04edd57087f9916bdbf502a2e8f1874f292c
    Dateiname: Atualizacao_de_Boleto_Vencido_10155455096293504.jar
    Erkennungsname: der Java / TrojanDownloader.Banload.AK

    der SHA-1: 8b50c2b5bb4fad5a0049610efc980296af43ddcd
    Dateiname: LU 1.jar
    Erkennung Titel: Java / TrojanDownloader.Banload. AK

    SHA-1: d588a69a231aeb695bbc8ebc4285ca0490963685
    File Name: Comprovante Deposito--Acordo N7656576l (3) (4) (4) .vbs
    Detektions Titel: VBS / TrojanDownloader.Agent.OGG

    SHA-1: dde2af50498d30844f151b76cb6e39fc936534a7
    File Name: 7b0gct262q.exe
    Detektions Titel: Win32 / Packed.Autoit.R

    SHA-1: 256ad491d9d011c7d51105da77bf57e55c47f977 Erkennungsname
    : Win32 / Spy.Banker.ACSJ

    Jetzt auch beliebt: