Die Angreifer versenden sehr professionell gemachte E-Mails im Namen mehrerer großer Telekommunikationsanbieter und deutscher Banken: Die guten Namen der Deutschen Telekom und Vodafone sowie der Volksbank/Fiducia und auch der Sparkasse werden aktuell für diese Spam-Wellen missbraucht. Ziel der Angreifer ist es, die Bankkonten argloser Kunden mit Hilfe des Banking-Trojaners Swatbanker zu plündern!
In ersten öffentlichen Berichten der Telekom über diese Spam-Welle wurde gemutmaßt, dass es sich bei dem ausgelieferten Schadprogramm um einen Bitcoin-Miner handelt. Diese Vermutung wurde als falsch revidiert und ersetzt durch die Aussage, es handle sich um ein Trojanisches Pferd mit „derzeit unbekannten Auswirkungen“.
Die Vorgehensweise des aktuellen Falls erinnerte die Experten der G DATA SecurityLabs jedoch umgehend an einen ähnlichen Fall aus dem Januar 2014: Cridex Banking-Trojaner auf dem Vormarsch – schon damals waren namhafte Telekommunikationsunternehmen und Banken als Lockmittel benutzt worden, mit einer sehr ähnlichen Vorgehensweise. Auch die benutze Malware ähnelt dem vorherigen Fall frappierend. Wurde damals der Banking-Trojaner Cridex ausgeliefert, ist die aktuelle Schadsoftware nun als Nachfolger des Schädlings identifiziert und auf den Namen Swatbanker getauft.
Im Vergleich zu anderen Banking-Trojanern hat Swatbanker sich innerhalb kürzester Zeit einen Namen gemacht. Die Auswertung der durch BankGuard detektierten Angriffe des Monats Mai im Überblick:
Die Binärdateien sehen so unterschiedlich aus, dass davon ausgegangen werden muss, dass die Schadsoftware selbst von Grund auf neu programmiert wurde. Allerdings gibt es einige auffällige Ähnlichkeiten im Protokoll. Beide Varianten verwenden das gleiche Schema, um gestohlene Daten zu einem von den Angreifern kontrollierten Server, in die sogenannte Drop-Zone, zu senden:
All diese Daten werden über das HTTP-Protokoll versendet. Zuerst wird über die Klartextdaten mit der Hashfunktion SHA1 eine Prüfsumme gebildet (Hash). Die gestohlenen Klartextdaten werden danach symmetrisch mit einem Schlüssel verschlüsselt, der von der Schadsoftware immer wieder neu und zufällig erzeugt wird (EncryptedBuffer). Als Verschlüsselungsverfahren kommt RC4 zum Einsatz. Der RC4-Schlüssel wird dann asymmetrisch mit einem öffentlichen Schlüssel verschlüsselt, der aus einem mitgelieferten X.509-Zertifikat stammt (ExportSymkey). Da nur die Angreifer den dazugehörigen privaten Schlüssel besitzen, kann niemand sonst die Daten entschlüsseln, selbst wenn sie auf dem digitalen Transportweg in fremde Hände geraten sollten.
Nicht nur im Protokoll der beiden Schädlinge selbst zeigt sich die Ähnlichkeit, sondern auch in der internen Datenstruktur zur Vorbereitung des verschlüsselten Datenversands:
Beide Varianten müssen zuerst Windows-Programmierschnittstellen initialisieren, um das oben beschriebene Verschlüsselungsverfahren durchführen zu können. Die Windows-Programmierschnittstellen geben dabei sogenannte Handles zurück, die den initialisierten Zustand repräsentieren und von beiden Varianten in derselben Reihenfolge abgespeichert werden (H_CryptProv, H_Pubkey, H_Hash, H_Symkey).
Ein Unterschied zwischen beiden Varianten ist, dass Cridex den oben erwähnten ExportSymkey schon während der Initialisierung berechnet, während dies bei Swatbanker erst unmittelbar vor dem Datenversand geschieht. Ein weiterer Unterschied ist, dass der Zeiger auf die unverschlüsselten Daten (Buffer*) bei Cridex in einer eigenen Datenstruktur abgelegt wird, während dieser bei Swatbanker zusammen mit den Handles zu einer Datenstruktur zusammengefasst wird.Während sich in vielen internen Funktionen schon große Ähnlichkeiten zeigen, ist die Funktion „createcryptcontext“ sogar bei beiden komplett identisch:
Ein weiterer Hinweis auf die Zusammengehörigkeit ergibt sich aus dem Vergleich der sogenannten Webinjects. Bei Webinjects handelt es sich um JavaScript-Code, der vom Schädling in angegriffene Webseiten eingeschleust wird. Bereits auf den ersten Blick wird deutlich, dass die Webinjects lediglich überarbeitet und mit einer neuen Versionsnummer versehen wurden:
c5f739b880454bbf4d7570b5e685b7481ff9aa80bb5d3c15fd8eaac5d6d4f289
Inzwischen wechseln die Angreifer täglich die benutzten URL-Schemata, beginnen neue Spam-Wellen mit neuen Varianten der Schaddateien, um immer mehr Empfänger in die Malwarefalle zu locken und vermeintlich AV-Lösungen auszutricksen. Auf einmal gehackten Servern werden gleich mehrere thematische Angriffe dieser Wellen abgelegt.
Die erste Welle der aktuellen Spam-Mails wurde Mitte Mai detektiert und begann mit angeblichen Rechnungen der Telekom und Vodafone. Seither sind für die vier betroffenen Unternehmen rund 20 verschiedene URL-Schemata zum Verteilen der Malware registriert worden. Durch den Austausch der URLs und auch der hinterlegten Varianten der Swatbanker-Schaddateien, wollen die Angreifer selbstverständlich erzielen, dass AV-Lösungen und potentielle Opfer keine Chance haben gegen die Attacken. Die G DATA Schutzlösungen sind jedoch gegen die Angriffe mit den fortschrittlichen und umfangreichen Schutztechnologien wie G DATA BankGuard gerüstet.
Die Experten der G DATA SecurityLabs behalten diesen Fall definitiv im Auge und werden gegebenenfalls Updates zu den aktuellen Geschehnissen im G DATA SecurityBlog veröffentlichen!