Die E-Mail
Die Struktur der angezeigten URLs ist bisher immer gleich:
http:// IP-Adresse/news.html oder http:// IP-Adresse/boston.html
Die Betreffzeilen variieren, haben jedoch immer direkten Zusammenhang mit Boston. Einige Beispiele, alphabetisch sortiert:
- 2 Explosions at Boston Marathon
- Aftermath to explosion at Boston Marathon
- Boston Explosion Caught on Video
- BREAKING - Boston Marathon Explosion
- Explosion at Boston Marathon
- Explosions at the Boston Marathon
- Video of Explosion at the Boston Marathon 2013
Die Webseite
Ein Klick auf den Link in dieser E-Mail, öffnet eine Webseite, die vordergründig mit YouTube-Videos zu den Ereignissen in Boston gefüllt ist. Die fünf angezeigten Videos, die per iframe in die Seite eingebunden sind, sind legitim und lauffähig.
Im sechsten Kästchen, was ebenfalls HTML Code durch einen iframe in die Seite einbindet, startet jedoch etwas ganz anderes: Ein präpariertes Java-Applet. Kommt das Java Applet zur Ausführung im Browser und die auf dem Rechner installierte Java Version ist älter als Version 7 Update 11, sitzt das Opfer in der Falle. Ein Java-Exploit wird an den Client gesendet (CVE-2013-0422), nutzt die Sicherheitslücke aus und spielt Malware, die sogenannte Payload, auf den Rechner. Der Exploit für diese Sicherheitslücke war schon Anfang 2013 ein Thema im G DATA SecurityBlog.
Eine weitere Angriffsoption
Verweilt ein Besucher länger als 60 Sekunden auf der Webseite mit den Videos, startet automatisch eine Weiterleitung zu einer neuen Adresse, einer als Video getarnten ausführbaren Datei, die automatisch heruntergeladen wird. Das Format der URL ist aktuell folgendes: http:// IP-Adresse/boston.avi_______.exe
Die ausgelieferte Malware
Die ersten Analysen brachten zwei verschiedene Payloads hervor. Es ist selbstverständlich nicht auszuschließen, dass es weitere Varianten gibt oder in der Zukunft geben wird. Die Angreifer können den gewünschten Schadcode ohne große Probleme austauschen.
Payload-Variante 1 – der Passwort-Dieb
Die Schadfunktion dieses Samples ist vielfältig, hat jedoch einige Komponenten, die auf den ersten Blick herausstechen. Unter anderen sammelt er von der Festplatte des Opferrechners unverschlüsselt abgelegte Passwörter, z.B. die des ftp-Programms Filezilla oder auch die des Firefox Browsers.
Die gesammelten Passwörter werden dann mit hoher Wahrscheinlichkeit an einen vordefinierten Server versendet. Die Übertragung erfolgt jedoch verschlüsselt, daher ist der genaue Inhalt der übertragenen Daten noch nicht zu ermitteln gewesen. Eine weitere Funktion ist die Analyse des Netzwerkverkehrs.
Erschwerend kommt hinzu, dass der Schädling auch die Funktionen eines Spam-Bots mitbringt und nach der Infektion des PCs die verhängnisvolle E-Mail, mit der alles begann, weiter verbreitet. Die benutzte IP-Adresse in der Mail ändert sich, aber die Masche bleibt innerhalb der genannten Variationen die gleiche.
Aktuell ist noch nicht eindeutig geklärt, ob der Schadcode das Adressbuch des Benutzers für den Versand der Spam-Nachrichten hinzuzieht oder ob die Zieladressen von einer anderen Quelle stammen, z.B. vom kontaktierten Server.
Payload-Variante 2 – die Erpresser-Variante
Das untersuchte Sample verhielt sich einige Minuten völlig still, sperrte jedoch dann den Analysecomputer mit Ransomware, einem GVU-Trojaner.
Als wäre das allein nicht schon heikel genug für das Opfer, versendet auch dieser Schädling im Hintergrund die angeblichen News E-Mails im Stile eines Spam-Bots, wie oben bereits beschrieben, und versucht damit, weitere Opfer in seinen Bann zu ziehen.
Schutz gegen die Angriffe
- Eine aktuelle und umfassende Sicherheitslösung mit einem Schadcodescanner, Firewall, Web- und Echtzeitschutz gehören zur Grundausstattung. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails ist ebenfalls sinnvoll.
- Das installierte Betriebssystem, der Browser und seine Komponenten sowie die installierte Sicherheitslösung sollten immer auf dem aktuellen Stand gehalten werden. Programm-Updates sollten umgehend installiert werden, um so bestehende Sicherheitslücken zu schließen.
- Es ist ratsam, im benutzten Webbrowser die Ausführung von Plug-Ins, Skripten und meist auch Werbungsinhalten standardmäßig zu deaktivieren und diese nur gezielt zu starten. Dies kann in den Einstellungen vorgenommen oder mit entsprechenden Browser-Erweiterungen erzielt werden.
- Links und Dateianhänge in E-Mails und auch in sozialen Netzwerken sollten nicht unbedacht angeklickt werden. Die Dateien oder die Webseite könnten mit Schadcode verseucht sein. Wenn eine Nachricht eines Freundes merkwürdig erscheint, sollten Anwender sich rückversichern, ob diese echt ist.
- Gerade Oracles Java ist immer wieder Ziel von Cyber-Angreifern und wir raten daher dazu, ein besonderes Augenmerk auf die eigene Java-Installation zu haben. Weitere Informationen dazu haben wir auf der Webseite "Sicherer Umgang mit Java" im Bereich der G DATA SecurityLabs zusammengestellt.
**** UPDATE, 18.04.2013, 17.15 Uhr ****
Die Angreifer haben sich ein weiteres Ereignis gesucht, um die Spam-Kampagne fortzuführen. Neben den angeblichen Neuigkeiten zu den Vorfällen in Boston, rücken nun Berichte über die gestrige Explosion der Düngemittelfabrik in Texas in den Fokus.
Die gesendeten E-Mails unterscheiden sich ledglich in der Betreffzeile von den vorher erwähnten. Eine Auswahl der bis jetzt registrierten Betreffzeilen:
- CAUGHT ON CAMERA: Fertilizer Plant Explosion Near Waco, Texas
- Fertilizer Plant Explosion Near Waco, Texas
- Raw: Texas Explosion Injures Dozens
- Texas Plant Explosion
- Texas Explosion Injures Dozens
- Texas Plant Explosion
- Video footage of Texas explosion
Bei den angezeigten URLs bleibt die Struktur erhalten. Zu der Anzeige von http:// IP-Adresse/news.html kommt nun auch http:// IP-Adresse/texas.html hinzu.
Die aufgerufene Webseite ist optisch identisch mit der oben erwähnten. Lediglich die Videos wurden editiert, um nun Texas zu zeigen, und die Quelle des Java-Applets variiert ebenfalls.