Die Bombenexplosionen während des berühmten Marathons in Boston haben die Menschen weltweit erschüttert – noch immer ist unklar, wer hinter der Tat steckt und diesen Umstand nutzen Cyber-Angreifer schamlos aus. Sie versprechen angebliche Neuigkeiten über die Vorfälle, übermitteln jedoch Schadcode an ahnungslose Nutzer!
Die Struktur der angezeigten URLs ist bisher immer gleich:
http:// IP-Adresse/news.html oder http:// IP-Adresse/boston.html
Die Betreffzeilen variieren, haben jedoch immer direkten Zusammenhang mit Boston. Einige Beispiele, alphabetisch sortiert:
Ein Klick auf den Link in dieser E-Mail, öffnet eine Webseite, die vordergründig mit YouTube-Videos zu den Ereignissen in Boston gefüllt ist. Die fünf angezeigten Videos, die per iframe in die Seite eingebunden sind, sind legitim und lauffähig.
Im sechsten Kästchen, was ebenfalls HTML Code durch einen iframe in die Seite einbindet, startet jedoch etwas ganz anderes: Ein präpariertes Java-Applet. Kommt das Java Applet zur Ausführung im Browser und die auf dem Rechner installierte Java Version ist älter als Version 7 Update 11, sitzt das Opfer in der Falle. Ein Java-Exploit wird an den Client gesendet (CVE-2013-0422), nutzt die Sicherheitslücke aus und spielt Malware, die sogenannte Payload, auf den Rechner. Der Exploit für diese Sicherheitslücke war schon Anfang 2013 ein Thema im G DATA SecurityBlog.
Verweilt ein Besucher länger als 60 Sekunden auf der Webseite mit den Videos, startet automatisch eine Weiterleitung zu einer neuen Adresse, einer als Video getarnten ausführbaren Datei, die automatisch heruntergeladen wird. Das Format der URL ist aktuell folgendes: http:// IP-Adresse/boston.avi_______.exe
Die ersten Analysen brachten zwei verschiedene Payloads hervor. Es ist selbstverständlich nicht auszuschließen, dass es weitere Varianten gibt oder in der Zukunft geben wird. Die Angreifer können den gewünschten Schadcode ohne große Probleme austauschen.
Die Schadfunktion dieses Samples ist vielfältig, hat jedoch einige Komponenten, die auf den ersten Blick herausstechen. Unter anderen sammelt er von der Festplatte des Opferrechners unverschlüsselt abgelegte Passwörter, z.B. die des ftp-Programms Filezilla oder auch die des Firefox Browsers.
Die gesammelten Passwörter werden dann mit hoher Wahrscheinlichkeit an einen vordefinierten Server versendet. Die Übertragung erfolgt jedoch verschlüsselt, daher ist der genaue Inhalt der übertragenen Daten noch nicht zu ermitteln gewesen. Eine weitere Funktion ist die Analyse des Netzwerkverkehrs.
Erschwerend kommt hinzu, dass der Schädling auch die Funktionen eines Spam-Bots mitbringt und nach der Infektion des PCs die verhängnisvolle E-Mail, mit der alles begann, weiter verbreitet. Die benutzte IP-Adresse in der Mail ändert sich, aber die Masche bleibt innerhalb der genannten Variationen die gleiche.
Aktuell ist noch nicht eindeutig geklärt, ob der Schadcode das Adressbuch des Benutzers für den Versand der Spam-Nachrichten hinzuzieht oder ob die Zieladressen von einer anderen Quelle stammen, z.B. vom kontaktierten Server.
Das untersuchte Sample verhielt sich einige Minuten völlig still, sperrte jedoch dann den Analysecomputer mit Ransomware, einem GVU-Trojaner.
Als wäre das allein nicht schon heikel genug für das Opfer, versendet auch dieser Schädling im Hintergrund die angeblichen News E-Mails im Stile eines Spam-Bots, wie oben bereits beschrieben, und versucht damit, weitere Opfer in seinen Bann zu ziehen.
Die Angreifer haben sich ein weiteres Ereignis gesucht, um die Spam-Kampagne fortzuführen. Neben den angeblichen Neuigkeiten zu den Vorfällen in Boston, rücken nun Berichte über die gestrige Explosion der Düngemittelfabrik in Texas in den Fokus.
Die gesendeten E-Mails unterscheiden sich ledglich in der Betreffzeile von den vorher erwähnten. Eine Auswahl der bis jetzt registrierten Betreffzeilen:
Bei den angezeigten URLs bleibt die Struktur erhalten. Zu der Anzeige von http:// IP-Adresse/news.html kommt nun auch http:// IP-Adresse/texas.html hinzu.
Die aufgerufene Webseite ist optisch identisch mit der oben erwähnten. Lediglich die Videos wurden editiert, um nun Texas zu zeigen, und die Quelle des Java-Applets variiert ebenfalls.