Casper gilt als Nachfolger von EvilBunny und Babar und stammt vermutlich aus der Feder derselben Programmierergruppe, die in mutmaßlichem Zusammenhang mit einer französischen Behörde steht. Die Malware erfuhr zwei sehr interessante Veränderungen: Sie weist jetzt einen modularen Aufbau auf, wodurch die Angreifer in der Lage sind, nach Belieben Angriffs-Plug-Ins herunterzuladen und zu installieren. Zudem wurden die Strategien der Malware gegen Virenschutzlösungen verbessert. Dieser Blog-Beitrag liefert einen kurzen Überblick über die wichtigsten Unterschiede zwischen Casper und den beiden anderen Malware-Arten, die wir hier nennen möchten. Eine gründliche Analyse von Casper findet sich im Blog-Beitrag von Joan Calvet (ESET), der heute veröffentlicht wurde. Joan Calvet hat dabei erneut zusammen mit Marion Marschalek und G DATA’s Paul Rascagnères eine Detailanalyse dieser neu entdeckten Bedrohung erstellt.
Ziele/Opfer
Die Analyse zeigte, dass Casper als Payload über einen Dropper verbreitet wurde, der Computer nach einem Zero-Day-Exploit von Adobe Flash infizierte (CVE-2014-0515). Dabei diente eine einzige Website gleich zwei Zwecken: als Quelle des Exploit-Programmcodes und als C&C-Server für Casper. Es handelt sich um die folgende Website, die im Jahr 2011 vom syrischen Justizministerium registriert wurde: hxxp://jpic.gov.sy
Diese legitime Website ist ein Portal für syrische Bürger, auf dem diese „Beschwerden über Verstöße gegen Recht und Ordnung einreichen können. Wir sind der Auffassung, dass die Malware entwickelt wurde, um syrische Dissidenten anzugreifen, die sich über die Regierung beschweren“. Diese Erkenntnis enthüllte Vyacheslav Zakorzhevsky im April 2014. „Unserer Auffassung nach wurde die Malware entwickelt, um gezielt syrische Dissidenten anzugreifen, die sich über die Regierung beschweren“, führt er weiter aus.
Zeitrahmen
Zakorzhevsky berichtete, dass die Angriffe über die syrische Website Mitte April 2014 erfolgten; Calvet ermittelte, dass „die Konfigurationsdatei mit einem Zeitstempel vom Montag, den 7. April 2014 um 21:27:05 Uhr GMT beginnt“. Die Programmierer versuchten jedoch, die Ermittler in die Irre zu führen: Sie manipulierten den Zeitstempel auf den 18. Juni 2010.
Strategie gegen Virenschutzlösungen
Bei Babar war bereits Code implementiert, mit dem nach installierten, registrierten Virenschutzprodukten gesucht wurde. Casper geht noch einen Schritt weiter. Je nach dem auf dem Computer erkannten Virenschutzprodukt kommen unterschiedliche Strategien und ein jeweils anderes Verhalten der Malware zum Einsatz, um die Entdeckung durch Virenschutzprodukte zu verhindern.
Zielsetzung von Casper
Sobald Casper erfolgreich auf einem System installiert ist, stellt die Malware regelmäßig eine Verbindung zum entsprechenden C&C-Server her (in diesem Fall dieselbe Website, die die Infizierung auslöste). Zwei Befehle, die die Malware von diesem Server empfangen kann, sind <EXEC>und <SYSTEM>. Beide liefern Hinweise auf die Fähigkeit, weiteren Programmcode auf den infizierten Computer herunterzuladen, der dann die eigentlichen Angriffe ausführt.
Da die Malware zur selben Gruppe wie EvilBunny und Babar gehört, wäre es nicht weiter verwunderlich, wenn Casper um Plug-ins ergänzt würde, die in der Lage sind, Cyber-Spionageangriffe auszuführen. Derzeit können wir jedoch nur über die heruntergeladenen Funktionen spekulieren, da der C&C-Server zum Zeitpunkt der Analyse nicht erreichbar war.
EvilBunny, Babar und jetzt Casper... Woher stammen diese Namen?
Diese Malware wird so bezeichnet, weil die Kernbibliothek eines der analysierten Samples die Bezeichnung „Casper_DLL.dll“ trägt. Beide Kernprogramme waren sehr ähnlich, sie wurden jedoch anders verpackt.