Vor mehr als zehn Jahren verbreiteten sich Würmer wie Bagle in passwortgeschützten Archivdateien, z. B. in ZIP-Archiven, die per E-Mail versendet wurden. Das zum Öffnen der Archivdatei erforderliche Passwort wurde in der E-Mail genannt. Diese Betrugsmasche wurde seither kaum mehr beobachtet. Sie gilt als alter Hut, kehrt aber jetzt trotzdem zurück.
Wir haben eine Spam-Kampagne beobachtet, bei der es sich um Phishing-Versuche handelt. Ziel dieser Kampagne sind derzeit vorwiegend Anwender aus Italien, und zwar vor allem Kunden der Bank „Gruppo Bancario Iccrea“. Ziel der Kampagne ist es, an Kreditkartendaten zu gelangen.
Die betreffenden E-Mails haben einen Dateianhang: ein .HTML-Dokument, das nach einem Passwort fragt, wenn es geöffnet wird. Das Passwort wird im E-Mail-Text genannt. Beachten Sie, dass das nach dem Passwort fragende Fenster in englischer, nicht in italienischer Sprache abgefasst ist.
Das Passwort wird zur Entschlüsselung des Payloads genutzt, das den HTML-Code der Phishing-Kampagne enthält:
Ist das eingegebene Passwort korrekt, wird der in der Variable „orig“ enthaltene HTML-Code dekodiert, und es wird die folgende Phishing-Website angezeigt:
Die Urheber dieser Kampagne machen sich die Tatsache zunutze, dass mit Passwörtern gemeinhin eine gewisse Sicherheit assoziiert wird: Viele Leute halten passwortgeschützte Inhalte erst einmal für sicher. Die Angreifer nutzen diesen Irrglauben aus und führen die Leser der E-Mail so in die Irre.
Ein Artikel auf myonlinesecurity.co.uk berichteten über eine ähnliche Kampagne, bei der jedoch Dateianhänge mit Malware versendet wurden. Die Angreifer ködern mögliche Opfer mit Social-Engineering-Techniken, damit sie die Malware herunterladen und installieren.
Neben der Social-Engineering-Methode nutzen die Angreifer auch technische Tricks. Der Dateianhang, eine RAR-Archivdatei, ist mit dem in der E-Mail genannten Passwort geschützt. Sicherheitspakete sind nicht in der Lage, passwortgeschützte Archivdateien zu scannen. Daher können die Dateien die Sicherheitskontrollen für E-Mails ungehindert umgehen, obwohl sie Malware enthalten. Zum Scannen des Inhalts wäre es erforderlich, die Datei automatisch zu entpacken und somit den Passwortschutz außer Kraft zu setzen. Diesen Vorgang gestattet kein normaler E-Mail-Client.
Der gefährliche Inhalt wird erst durch manuelles Entpacken der RAR-Archivdatei erkennbar: Es handelt sich um die Datei „NIKON-2013564-JPEG.scr“, welche von G Data Produkten als Trojan.GenericKD.1604689 erkannt wird. Die Dateiendung SCR wird von Windows als ausführbare Datei identifiziert. Der zweite Teil, vor der Dateiendung, JPEG, gaukelt dem Anwender vor, es handle sich um eine Bilddatei.
Standardmäßig zeigt Windows nicht die echte Dateiendung an. Der Anwender sieht daher den Teil „.scr“ nicht; die zweite vermeintliche Dateiendung JPEG kann somit zur Täuschung genutzt werden. Ein weiteres Täuschungsmoment ist das Dateisymbol. Das Icon weist auf ein PDF-Dokument hin.
Die angehängte ausführbare Datei extrahiert eine zweite Binärdatei, die Datei viewer_update.exe, und führt diese aus. Diese EXE-Datei stellt eine Verbindung zum Internet her und lädt weitere Dateien herunter:
Bei diesen Websites handelt es sich offenbar um ehemals legitime Websites, die manipuliert wurden. Die heruntergeladene Datei 13003UKc.ton ist ein verschlüsselter Treiber, den wir als Generic.Trojan.Agent.BK identifizieren. Der verschlüsselte Treiber wird nach dem Herunterladen durch viewer_update.exe entschlüsselt und legt dann Malware aus der ZeuS-Familie, gespickt mit Necurs Rootkit-Funktionalität, auf dem Opfer-PC ab. G Data erkennt die hier benutzte Malware als Rootkit.Necurs.QC.
Das Verpacken von Malware in passwortgeschützte Archivdateien zum Umgehen von Virenscannern, die E-Mail-Programme überwachen, ist eigentlich nichts Neues. Diese Methode wurde im Jahr 2003 mit der Bagle-Familie bekannt. Ziel dieser Methode war es damals, die automatische Analyse der Dateien zu verhindern. Im Jahr 2003 dauerte es jedoch nicht lange, bis entsprechende Gegenmaßnahmen in Kraft gesetzt wurden. Es überrascht daher einigermaßen, dass Angreifer diese Strategie, deren Realisierung im Vergleich zu anderen Spam-Methoden zeitaufwändig ist, jetzt wieder aufgreifen. Außerdem behindert sie Analysen in keiner Weise. Die Schadcode-Dateien werden lediglich etwas später erkannt.
Da diese Art von Angriffen üblichen Sicherheitsmaßnahmen von E-Mail-Programmen besondere Schwierigkeiten bereitet, ist es umso wichtiger, ein umfassendes Sicherheitspaket einzusetzen und vor allem die Funktionsweise solcher Angriffe zu verstehen, um nicht in die Falle zu tappen!