Trustwave warnt vor gefälschten Ebola-Mails (Spam-Kampagne)

Cyberkriminelle haben wieder einmal ein brisantes Weltthema aufgegriffen um daraus eine Spam-Kampagne mit entsprechend angefügter Malware zu bauen. SpiderLabs von Trustwave haben bösartige Spam-Muster, die in Verbindung mit dem Ebola Virus stehen, entdeckt.

Das Bild unten zeigt ein Beispiel für eine solche Spam E-Mail, die angeblich von der Weltgesundheitsorganisation stammen soll. Die angehängte Datei gibt sich als Dokument über Ebola-Virus Sicherheitstipps aus.

Abbildung 1: Eine Ebola-bezogene böswillige Spam-Kampagne, die angeblich von der Weltgesundheitsorganisation stammen soll

Bei genaueren Betrachtung ist natürlich der RAR komprimierte Dateianhang keine Dokumentendatei, sondern eine ausführbare Datei eines DarkComet Remote Access Trojaners (RAT). Dieser Trojaner nutzt ein verschlüsseltes AutoIt-basiertes Skript, um gegenüber AV-Sicherheitssoftware unentdeckt zu bleiben.

Bei Ausführung der Datei wird ein zufällig benannter Ordner in den WIN Awendungsdaten erstellt und legt dort seine Komponenten wie folgt ab:

% AppData% \ eaedq \ dhkta.bvi (6KB) - AutoIt-Skript zum Entschlüsseln anderen Komponentendateien

% AppData% \ eaedq \ ttskj.urv (121KB) - Verschlüsselte AutoIt-Skript

% AppData% \ eaedq \ kjofr (678KB) - Verschlüsselte AutoIt-Skript

% AppData% \ eaedq \ YMQGIX (29KB) - RAT Konfigurationsdatei

% AppData% \ eaedq \ nxjqw.cmd (750KB) - AutoIt Skript loader ausführbaren

Abbildung 2: Die Datei dhkta.bvi - Ein verschleiertes AutoIt-Skript, das die anderen AutoIt RAT Komponenten entschlüsselt

Die Malware erstellt auch diesen Autorun-Registrierungsschlüssel:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Currentversion \ Run 

Windowsupdate = "% AppData% \ eaedq \ nxjqw.cmd% AppData% \ eaedq \ dhkta.bvi" 

Und es erzeugt auch diese Infection Mark Registry:

HKEY_CURRENT_USER \ Software \ DC3_FEXEC

Der Trojaner bleibt speicherresident, indem er ein legitimes Microsoft .NET Services Installationstool namens RegSvcs.exe anstößt und sich dann selbst in den Prozess einspeist.

Der Backdoor Trojaner speichert Schlüssel Protokolle in einem Ordner im Anwendungsdatenverzeichnis:

C: \ Dokumente und Einstellungen \\ Anwendungsdaten \ dclogs \ (Jahr) - (Monat) - (Tag) - (Ziffer) .dc

Anders als beim Keyloggern, umfasste er folgende Backdoor-Funktionalitäten:

  • Webcam-Aufnahme
  • Tonaufnahme
  • Remote Desktop
  • Laden und Ausführen von Dateien
  • Abholen von Systeminformationen
  • Ändern der System-Host-Dateien
  • Ausführen von Shell-Befehlen
  • Stehlen von Kennwörtern und Torrent-Dateien
  • Prozesselisting
  • Remote Scripting

Das RAT sendet dann alle diese gestohlenen Informationen an einen Remote-Server mit der IP-Adresse 5.254.112.46 auf Port 3030.

Bisher haben wir nur eine Probe aus dieser Kampagne gesehen. Zu diesem Zeitpunkt wird noch nicht angenommen, dass es sich um eine weit verbreitete Kampagne handelt. Die Zeiladresse war ein alte Honeypot-Adresse, so dass man nicht genau erkennen kann ob es sich um einen gezielten Angriff handelt. Auf Grund dieser Tatsachen kann man zunächst davon ausgehen, dass es sich evtl. um einen ersten Testversuch der Spammer handelt, um ersen Ergebnisse zu sammeln. Die E-Mails werden zunächst an eine willkürliche Benutzer-Adressliste gesendet, um zu sehen, welche Daten man dadurch stehlen und verkaufen kann. 

Eine weitere Ebola bezogene Spam-Kampagne, wurde angeblich von der mexikanischen Regierung verschickt.

Beim Öffnen der angehängten Dokument Datei erscheinen Textanweisungen und Screenshots, die den Benutzer dazu verlocken sollen, die Makro-Funktion der Microsoft Word-Anwendung zu aktivieren, um dann den Inhalt siehe unten zu laden:

Abbildung 4: Der spanische Text instruiert die User, wie Sie die Makros aktivieren, um den Inhalt anzeigen zu lassen

Abbildung 5: Das Makro in der Dokument-Datei mit dem Link auf die Malware

Das Aktivieren des Makros aktiviert das AutoOpen Makro, mit dem folglich mehr und mehr Malware von einem Remote Server auf den Opferechner geladen wird. Der Anstieg dieser Word-Makro Malware-Anhänge in Spam-Mails nehmen zur Zeit stark zu.  Ebola ist dabei nur eines von vielen Themen.  

Im Oktober konnte man einen Anstieg dieser Spam Kampagne sehen. In den falschen E-Mails waren viele Links gerade auf Werbe-, Gaming- und pharmazeutische Websites zu sehen.

Abbildung 6: Ein Spike Ebola-themed Spam-Kampagnen

Hier sind einige der verwendten Betreffzeilen:

  • RE: Ebola Survival Guide
  • What you need to know about the deadly Ebola outbreak           
  • So Really, How Do You Get Ebola?           
  • Ebola virus outbreak: Curing Breakthrough Revealed?   
  • SHOCKING Health Alert: Secret Cure for Ebola?
  • HEALTH NEWS: Secret Cure for Ebola?                   
  • Is there ANY way to cure Ebola?               
  • First GMO foods, now Ebola. What Obama doesn't want you to know.  
  • Ebola, GMO, What they don't want you to know.            
  • SHOCKING Health Alert: Ebola is spreading         
  • EBOLA Outbreak - FEMA Storing 250,000 Plastic Coffins 
  • You won't believe what Obamacare & Ebola have in common.   
  • Ebola Outbreak Now WORSE Than We're Being Told       
  • Ebola & Obamacare - a match made in heaven. 
  • CDC ALERT: 1.4 Million EBOLA Victims by January?           
  • The #1 Food Items You'll Need In An EBOLA Crisis            
  • SHOCKING Health Alert: Secret Cure for Ebola/  

Fazit:

Es überrascht nicht, dass Cyberkriminelle weiterhin berichtenswerte, Katastrophen und Ereignisse nutzen um im Huckepack-Verfahren entsprechende Malware zu verteilen.

Erst letzte Woche haben US Computer-Readiness Team (US-CERT) eine Warnung vor diesen Spam-Kampagnen veröffentlicht und die User gewarnt. Also seien Sie vorsichtig wenn Sie E-Mails bzgl. dem Ebola-Virus bekommen, sonst fangen Sie sich einen Virus schneller ein als sie denken.

Tags: 

  • Spam
  • Ebola
  • E-Mail Sicherheit
  • Kampagne
  • SpiderLabs
  • Cyberkriminelle