Im Überblick
Der Retefe Banking-Trojaner hat in der Vergangenheit vornehmlich Österreich, Schweden, die Schweiz und Japan ins Visier genommen. Zudem sind einzelne Fälle infizierter Websites in Großbritannien aufgetaucht. Zwar hat Retefe nie das Ausmaß oder den Bekanntheitsgrad anderer Banking-Trojaner wie Dridex oder Zeus erreicht, doch fällt Retefe durch seine konsequente regionale Ausrichtung auf. Darüber hinaus haben die Cyberkriminellen vor kurzem die Verwendung des EternalBlue-Exploits hinzugefügt. Damit lässt sich der Trojaner, hat er einen Rechner im Netzwerk infiziert, intern im Netzwerk verteilen. Traurige Bekanntheit erreichte die Sicherheitslücke EternalBlue durch den WannaCry-Ausbruch im Mai 2017.
Im Gegensatz zu Dridex oder anderen Trojanern, die auf Webinjects angewiesen sind, um die Kommunikation von Online-Banking-Sitzungen vom PC zur Bank-Website und retour umzuleiten, leitet Retefe den Datenverkehr über verschiedene Proxy-Server, die oft im TOR-Netzwerk gehostet werden. Bereits vor einigen Wochen haben wir die Funktionsweise von Retefe im Zusammenhang mit deutschsprachigen Ködern für österreichische und Schweizer Online-Banking-Anwender und die Rolle von Proxy-Systemen bei der Kompromittierung von PCs dargestellt:
Abbildung 1: Übersicht über die von Retefe verwendete Proxy-Injektion
Obwohl Retefe außerhalb seiner Zielregionen relativ unbekannt ist, handelt es sich um eine Malware-Familie mit einer langen Geschichte, dargestellt beispielsweise in einem Überblick des Computer Emergency Response Teams der Schweizer Regierung (GovCERT.ch).
Retefe erlangte vor kurzem größere Bekanntheit durch die Verbreitung einer Mac-OS-Version des Banken-Trojaners, vor allem in der Schweiz. Das deutschsprachige, gefälschte Mac-OS-Update (Abb 2) begann als ein Social Engineering Schema, bei dem Benutzer ihr administratives Passwort eingeben und Retefe installieren sollten. Diese Version wurde zwischen Juni und August 2017 verteilt.
Abbildung 2: Fake-Mac-OS-Update führt zur Installation einer Mac-Version von Retefe (Bild mit freundlicher Genehmigung des Swiss Government CERT)
In den letzten Monaten wurde Retefe in der Regel in Spam-E-Mail-Kampagnen mit Microsoft Office-Dokumentenanhängen eingesetzt. Eine kürzlich gestartete Kampagne richtete sich an deutsche Unternehmen verschiedener Branchen mit Botschaften, die die Betreffzeile „Benachrichtigung über die Paketzustellung Nr. 0006292" und Anhänge mit Namen wie „quittung_123456_05_09_2017. doc", „bestellung_123456_05_09_2017. doc ", „bestellung_123456_05_05_05_09_2017. doc" und „rechnung_123456_05_09_2017. Doc“ trugen.
Eine ähnliche Kampagne mit gestohlenem DHL-Branding hatte die Betreffzeile "Man hat Ihnen das Paket mit Unterlagen versendet". Der Köder, der in der Schweiz für deutschsprachige Personen verwendet wird, ist in Abbildung 3 dargestellt:
In all diesen Nachrichten enthalten die Anhänge eingebettete Paket-Shell-Objekte oder OLE-Objekte, die typischerweise Windows-Shortcut-„. lnk" -Dateien sind. Die Anhänge enthalten auch ein Bild und einen Text, der den Benutzer auffordert, auf die Shortcuts zu klicken, um sie auszuführen (Abbildung 4). Einige Kampagnen der letzten Zeit haben auch schädliche Makros anstelle von Package Shell Objects integriert.
Abbildung 4: Retefe Microsoft Word-Anhang
Wenn der Benutzer die Verknüpfung öffnet und die Sicherheitswarnung akzeptiert (Abbildung 5), lädt der PowerShell-Befehl im LNK eine ausführbare Datei herunter, die auf einem Remote-Server gehostet wird. Dieser Server kann unter Kontrolle eines Angreifers liegen oder auf einer Public-Cloud-Filesharing-Plattform wie Dropbox platziert sein. Die eigentlichen Angriffsdateien der letzten Kampagnen sind selbstextrahierende Zip-Archive.
Abbildung 5: Warnung vor Windows-Verknüpfung, wenn Benutzer versuchen, die Verknüpfung zu öffnen
Wie bereits erwähnt, ist die heruntergeladene ausführbare Datei ein selbstextrahierendes Zip-Archiv, das einen mehrfach-verschleierten JavaScript-Installer enthält. Ein klares Beispiel des Installer Codes ist in Abbildung 6 dargestellt:
Abbildung 6: JavaScript-Installer, klar und erkennbar
In der "Cfg" -Sitzung werden mehrere Parameter eingestellt:
- „dl:" – eine Liste von Proxy-Servern, die in TOR gehostet werden
- „cert:" – ein (Base64-kodiertes) gefälschtes Root-Zertifikat
- „ps:" – Installationsskript für Zertifikat-Installation für Internet Explorer
- „psf:" – Zertifikat Installationsskript für Firefox
- „pstp:" – ein Skript, das TOR und andere Dienstprogramme herunterlädt und installiert
- „pseb:" – ein Skript, das den EternalBlue-Exploit implementiert, um sich im Netzwerk zu verbreiten
Wie bereits oben erwähnt, ist Retefe auf Proxy-Server angewiesen, um den Bankenverkehr der infizierten PCs abzufangen und zu modifizieren. Diese Proxies befinden sich in der Regel auf TOR-Servern, die im Parameter „dl:" festgelegt sind, während der Parameter „pstp:" TOR auf infizierten Computern installiert. Allerdings fehlt in einigen Samples das „pstp:" und die Retefe-Gruppe hat – wie in der Vergangenheit – TOR-to-Web-Proxies, Proxifier und Obfs4proxy zusätzlich zur Installation von TOR verwendet.
Den Parameter „pseb:" haben wir erstmals am 5. September beobachtet. Die „pseb:"-Konfiguration implementiert den EternalBlue-Exploit, der den größten Teil des Codes aus einem öffentlich zugänglichen Proof-of-Concept entnimmt. Es enthält auch Funktionen zum Protokollieren der Installations- und Konfigurationsdetails der infizierten PCs und zum Hochladen auf einen FTP-Server. Am 20. September wurde der Abschnitt „pseb:" durch einen neuen Abschnitt „pslog:" ersetzt, der nur die Logging-Funktionen enthielt.
Die Dekodierung des Abschnitts „pseb:" erzeugt den in Abbildung 7 dargestellten Code. Die Konfiguration des Schadcodes für EternalBlue in dieser Implementierung ist in Abbildung 8 dargestellt.
Abbildung 7: EternalBlue (und Logging) Skriptstart
Abbildung 8: EternalBlue-Konfiguration
Abbildung 9 zeigt den dekodierten Payload-String, der durch den Shellcode aufgerufen wird:
Abbildung 9: Dekodierter EternalBlue-Codestring
Beim Dekodieren dieses Schadcode-Strings wird wiederum ein PowerShell-Befehl angezeigt (Abbildung 10):
Abbildung 10: Dekodierter EternalBlue-Payload PowerShell-Befehl
Der EternalBlue-Exploit lädt also ein PowerShell-Skript von einem Remote-Server herunter, der selbst eine eingebettete ausführbare Datei enthält, die Retefe installiert. Bei dieser Installation fehlt jedoch das Modul „pseb:", das für die weitere Ausbreitung im Netzwerk über EternalBlue verantwortlich ist. Auf diese Weise verhindern die Cyberkriminellen, dass die Verbreitung in eine unendliche Schleife mündet.
Schlussfolgerung
Die Gruppe, die Retefe vertreibt, ist seit 2013 vor allem im deutschsprachigen Raum Europas aktiv und arbeitet an der Weiterentwicklung ihrer Angriffsvektoren und -techniken. Während andere Banking-Trojaner wie Dridex oder The Trick weitaus verbreiteter sind, verspricht der Fokus der Retefe-Gruppe auf Schweizer Banken deutlich höheres Potenzial.
Darüber hinaus beobachten wir zunehmend gezielte Angriffe aus dieser Gruppe, die mit dem EternalBlue-Exploit Möglichkeiten zur effektiven Ausbreitung der Schadsoftware innerhalb von Netzwerken schafft, sobald die ersten PCs infiziert sind.
Wichtig ist, darauf hinzuweisen, dass es im Zusammenhang mit WannaCry und der Integration des EternalBlue-Exploits in The Trick den Banking Trojanern möglich ist, der Schadsoftware begrenzte Funktionen zur Verbreitung in Netzwerken hinzuzufügen. Dies könnte ein Trend in den Bedrohungsszenarien für 2018 darstellen.
Wie immer sollten Organisationen sicherstellen, dass sie vollständig gegen den EternalBlue-Exploit CVE-2017-0144 gepatcht sind. Sie sollten auch den damit verbundenen Datenverkehr in IDS-Systemen und Firewalls blockieren und bösartige Nachrichten (der primäre Vektor für Retefe) am E-Mail-Gateway blockieren.
Indicators Of Compromise (IOC)
2018789 ET POLICY TLS möglicherweise der TOR SSL VerkehrET und ETPRO Suricata/Snort Signaturen
2021997 ET-POLITIK externe IP-Suche
2522230 ET TOR Bekannter Tor Relais-/Router-Knoten