Dridex, JavaScript und Porta Johns ... Oh ja, Toilettenkabinen!

Werfen wir doch mal einen Blick zurück ... Proofpoint-Forscher haben heute mit der Verfolgung einer neuen Dridex-Kampagne begonnen, die einige ungewöhnliche Merkmale aufweist (sowie die Millionen persönlicher Nachrichten, die bei diesen enormen Dridex-Kampagnen mittlerweile als normal gelten). Im Grunde genommen verbindet diese Kampagne drei unterschiedliche Methoden zur Verbreitung der Nutzlast miteinander, um ihre Wirkung zu verstärken.

Die Kampagne, deren eigentliche Nutzlast Dridex botnet ID 220 heißt, richtet sich gegen britische Nutzer (mit "Injects" für Banken in Großbritannien, Österreich und Frankreich und Australien). Die Zielgruppe und das Botnet sind nicht neu – die Kombination der Vektoren hingegen schon. Unter Anderem wurden bei dieser Kampagne folgende Mitteilungen verschickt:

  • Microsoft Word- und Excel-Anhänge mit bösartigen Makros
  • Dokumentbasierte Exploits, die automatisch Dridex herunterladen, sobald die Dokumente auf angreifbaren Systemen geöffnet werden (CVE-2015-1641, evtl. auch CVE-2012-0158)
  • Gezippte, als PDF-Dokumente getarnte JavaScript-Anhänge. Für Dridex ist dieser Ansatz neu, wenngleich das JavaScript die Dokumente auf die bekannte Weise behandelt, indem es versucht, bei Ausführung durch den Benutzer Dridex herunterzuladen.

In jeder E-Mail tritt nur je einer der Vektoren auf – das heißt, die Akteure führen im Laufe der Kampagne eine Rotation mit ihnen durch.

Jedoch bezieht sich die betreffende Rechnung auch im weiteren Kontext auf Toilettenkabinen. Während manche Benutzer dies sofort als Spam entsorgen (wer mietet denn schon Toilettenhäuschen?), sind andere vielleicht neugierig genug, die Dokumente zu öffnen.

Abbildung 1: E-Mail einer jüngsten Dridex-Kampagne mit gefälschter Rechnung über die Nutzung einer Toilettenkabine

Beim Öffnen der gezippten JavaScript-Datei erkennen wir, dass nicht eine PDF-, sondern eine JS-Datei extrahiert wird:

Abbildung 2: Extrakt der JavaScript-Datei aus der gezippten Fake-Rechnung

Die nähere Untersuchung zeigt, dass das JavaScript stark verschleiert ist, um sich der Erkennung durch AV-Clients zu entziehen.

Abbildung 3: Extrahierte JavaScript-Datei

Auf Windows-Betriebssystemen sieht die JavaScript-Datei recht harmlos aus und wird auf einen Doppelklick hin automatisch ausgeführt:

Abbildung 4: JavaScript-Datei unter Windows

Durch einen Doppelklick lädt das JavaScript die Dridex-Binärdatei herunter:

Abbildung 5: JavaScript-Datei unter Windows

Grundsätzlich verwenden Dridex-Kampagnen Makros fast ausschließlich für die Überbringung ihrer Nutzlasten, wie aus dem nachstehenden Beispiel ersichtlich wird:

Abbildung 6: E-Mail mit angehängter Excel-Datei – im Anhang ein bösartiges Makro, das Dridex herunterlädt

Der Exploit des Dokuments sieht ähnlich aus, erfordert jedoch keinen Benutzereingriff außer das dem Öffnen des angehängten Dokuments auf einem angreifbaren System. Dies ist, wie auch der Javascript-Vektor, eher unüblich für Dridex:

Abbildung 7: E-Mail mit angehängtem Word-Dokument, in dem Dokumenten-Exploits integriert wurden

Wenn der Exploit anschlägt, wird dem Benutzer ein Köderdokument vorgehalten:

Abbildung 8: Erfolgreicher Dokumenten-Exploit, der Dridex ablegt

Zwar ist dies das moralische Gegenstück zum "Hello World", tatsächlich jedoch wird es auf gefährdeten Systemen aktiv. Das Köderdokument lässt sich wahrscheinlich anpassen und sollte wohl beim Benutzer weniger Argwohn erwecken als der Standardtext, der üblicherweise zum Testen oder Debuggen verwendet wird.

 

 Wichtigste Schlussfolgerungen:

  1. Dridex-Akteure werden immer einfallsreicher bei den Vektoren, mit deren Hilfe sie ihre Nutzlasten überbringen, und erkunden neue Wege, diese vor Antivirus-Software und anderen Erkennungsprogrammen zu verbergen.
  2. Neugier kann in der Tat großen Schaden anrichten. Daher sollten Benutzer stets daran erinnert werden, keine verdächtigen bzw. ungewöhnlichen Anhänge zu öffnen.

 

IOCs

Per Makro heruntergeladene Nutzlasten 

URLS

  • [hxxp://xinchunge.com/xinchunge.com/43rf3dw/34frgegrg.exe]
  • [hxxp://taukband.com/43rf3dw/34frgegrg.exe]
  • [hxxp://www.prestigehomeautomation.net/43rf3dw/34frgegrg.exe]
  • [hxxp://best-drum-set.com/43rf3dw/34frgegrg.exe]
  • [hxxp://2696666.com/43rf3dw/34frgegrg.exe]
  • [hxxp://www.fisioescorial.es/43rf3dw/34frgegrg.exe]
  • [hxxp://obstipatie.nu/43rf3dw/34frgegrg.exe]

Befehls- und Kontroll-IPs 

  • 91.239.232.145:1743
  • 103.245.153.70:343
  • 185.24.92.236:1743
  • 144.76.73.3:1743
  • 103.23.154.184:443
  • 141.89.179.45:443
  • 148.202.223.222:443
  • 174.70.100.90:443
  • 176.53.0.103:443
  • 181.177.231.245:443
  • 181.53.255.145:444
  • 185.47.108.92:443
  • 188.126.116.26:443
  • 193.17.184.250:443
  • 194.126.100.220:443
  • 194.95.134.106:443
  • 200.57.183.176:443
  • 41.38.18.230:443
  • 41.86.46.245:443
  • 46.183.66.210:443
  • 5.9.37.137:444
  • 62.109.133.248:444