Malware-Kampagnen, die auf den afrikanischen Bankensektor abzielen

Die Hauptmotivation hinter Cyberkriminalität ist die finanzielle Bereicherung, und die Finanzdienstleistungsbranche ist ein attraktives Ziel für Cyberkriminelle. Anfang 2022 entdeckte HP Wolf Security eine gezielte Malware-Kampagne gegen einen Mitarbeiter einer afrikanischen Bank. Die Kampagne erregte unsere Aufmerksamkeit aufgrund ihres zielgerichteten Charakters und des Versuchs des Angreifers, Malware mithilfe von HTML-Schmuggel zu verbreiten, einer Technik, mit der schädliche E-Mail-Anhänge an Gateway-Sicherheitskontrollen vorbeigeschmuggelt werden. In diesem Artikel beschreiben wir die Kampagne, teilen mit, wie der Angreifer gefälschte Bankdomänen registriert hat, um einen glaubwürdigen Köder aufzubauen, und erklären, wie HTML-Schmuggel funktioniert.

Die Kampagne

Anfang 2022 erhielt ein Mitarbeiter einer westafrikanischen Bank eine angeblich von einem Personalvermittler einer anderen afrikanischen Bank stammende E-Mail mit Informationen zu Stellenangeboten dort. Die Domäne, die zum Senden der E-Mail verwendet wurde, wurde typisiert und gehört nicht zu der legitimen nachgeahmten Organisation. Eine WHOIS-Anfrage zeigt, dass die Domain im Dezember 2021 registriert wurde und der Besuch der Website eine HTTP 404-Antwort „Nicht gefunden“ zurückgab. Um die Verlockung glaubwürdiger zu machen, fügte der Angreifer auch eine Antwortadresse eines anderen vermeintlichen Mitarbeiters der werbenden Bank hinzu.

Die Suche nach anderen Typosquatting-Domains im Zusammenhang mit der nachgeahmten Organisation ergab zwei weitere (Anhang 1), die möglicherweise mit derselben Malware-Kampagne in Verbindung stehen. Die zweite Domain zeigte eine Webseite über das Bewerbungsverfahren der Bank, die wahrscheinlich von der legitimen Website kopiert wurde.

Abbildung 1 – Typosquatted Website einer Bank, die den Bewerbungsprozess beschreibt.

Auf der Seite selbst wird keine Malware gehostet und es gibt kein Eingabeformular, das verwendet werden könnte, um Anmeldeinformationen oder sensible Informationen von Besuchern zu eruieren.

Die dritte Domain zeigte die Startseite der nachgeahmten Bank, die wahrscheinlich ebenfalls von der legitimen Website kopiert wurde, aber auch hier fanden wir keine Malware oder Anzeichen dafür, dass die Website für Phishing verwendet wurde.

Zweck der Typosquatted-Domains

Auf den typosquatted Domains 2 und 3 fanden wir, dass DNS TXT-Einträge für das Sender Policy Framework (SPF) eingerichtet waren, was darauf hindeutet, dass sie wahrscheinlich zum Senden bösartiger E-Mails verwendet wurden. Wenn die Websites für Phishing oder das Hosten von Malware verwendet würden, wäre der Zeitaufwand für die Konfiguration dieser Datensätze nutzlos. Der Besuch der Websites erhöht das Vertrauen des Empfängers in den E-Mail-Köder, da ihm Inhalte angezeigt werden, die von der legitimen Bank kopiert wurden, wodurch es letztendlich wahrscheinlicher wird, dass er auf die E-Mail reagiert.

Wir konnten nicht alle drei Domänen schlüssig miteinander verknüpfen, jedoch verweist Domäne 2 auf das Bewerbungsverfahren der Bank – der Köder, der in der Malware-Kampagne verwendet wurde – und folgt einer sehr ähnlichen Namenskonvention wie Domäne 1, sodass wir von demselben Bedrohungsakteur ausgehen wahrscheinlich registriert diese Infrastruktur.

Gängige Betrugsmethoden im Zusammenhang mit Banken

Phishing Phishing ist eine der häufigsten Betrügereien, die auf Bankkunden abzielen. Der Angreifer erstellt eine Website, die das legitime Anmeldeportal einer Bank imitiert, und sendet den Link per E-Mail oder SMS an potenzielle Opfer. Wenn jemand seine Anmeldedaten in das Formular eingibt, kann sich der Angreifer damit beim Konto anmelden. Eine effektive Möglichkeit, einfache Angriffe wie diesen abzuwehren, besteht darin, eine Multi-Faktor-Authentifizierung zu erzwingen. Um dies zu umgehen, müsste der Angreifer den zweiten Faktor vom Opfer abfangen und sich beim Phishing im Banking-Portal anmelden.
Gefälschter Bank-/Investitionsbetrug Beim gefälschten Bank- oder Investitionsbetrug erstellt der Angreifer eine Website, die eine legitime Bank- oder Investitionsplattform imitiert. Die Website wird verwendet, um Opfer dazu zu bringen, ein Konto zu eröffnen, was oft hohe Renditen durch Investitionen verspricht. Wenn sich das Opfer auf der Website anmeldet, wird ihm ein Fondsverwaltungstool angezeigt. Der Angreifer überredet das Opfer, mit dem Tool Geld zu überweisen, angeblich auf sein Konto. Das Geld wird über Drittanbieter überwiesen, statt über normale Banküberweisungen, die strengeren Betrugsbekämpfungskontrollen unterliegen. Dem Opfer wird ein Guthaben auf seinem gefälschten Konto angezeigt, das sich bei einer guten Rendite erwartungsgemäß erhöht. Das Geld wurde jedoch tatsächlich auf das Konto des Betrügers überwiesen und ist dem Opfer normalerweise endgültig verloren.
Malware-Verteilung Malware wird manchmal über gefälschte Bank-Websites oder E-Mails verbreitet, die vorgeben, von Banken zu stammen. Dabei handelt es sich nicht ausschließlich um Windows-Malware. Die zunehmende Popularität von Smartphone-Banking-Apps bedeutet, dass Malware häufig als Apps verbreitet wird, die auf Smartphone-Betriebssysteme abzielen. Benutzer sollten überprüfen, ob sie die offizielle Mobile-Banking-Anwendung verwenden, und im Falle von E-Mails und Websites sicherstellen, dass sie auf die richtige Domain ihrer Bank zugegriffen haben.

Malware-Analyse

In dieser Kampagne hat der Bedrohungsakteur einen HTML-Anhang gesendet Fiche de dossiers.htm zum Empfänger. Beim Öffnen der Datei in einem Texteditor wird der Quellcode der Seite angezeigt (Abbildung 2).

Abbildung 2 – Quellcode des HTML-Anhangs Fiche de dossiers.htm.

Die Datei enthält verschlüsselte Daten und eine Entschlüsselungsfunktion. Wie bereits aus dem Kommentar im obigen Bild ersichtlich, handelt es sich um eine Base64-kodierte ISO-Datei. Weiter unten im Quellcode wird diese ISO-Datei entschlüsselt und dem Benutzer in einer Download-Aufforderung des Webbrowsers mithilfe eines JavaScript-Blobs angeboten (Abbildung 3).

Abbildung 3 – Aufforderung zum Herunterladen des Webbrowsers, die anbietet, die ISO-Datei im Dateisystem zu speichern.

HTML-Schmuggel

HTML-Schmuggel ist eine Technik, die es Angreifern ermöglicht, Dateiformate, die andernfalls blockiert würden, an E-Mail-Gateways vorbeizuschmuggeln, indem sie in einer HTML-Datei kodiert werden. JavaScript-Blobs oder HTML5-Downloadattribute können zum Decodieren und Rekonstruieren der Datei verwendet werden. Wenn der Benutzer den HTML-Anhang mit einem Webbrowser öffnet, wird er aufgefordert, die Datei herunterzuladen, die bereits auf dem lokalen System gespeichert ist. Auf diese Weise umgeht HTML-Schmuggel Sicherheitskontrollen, die böswilligen Website-Verkehr, wie z. B. Web-Proxys, blockieren. Die Technik ist gefährlich, da HTML-E-Mail-Anhänge normalerweise nicht an Gateways blockiert werden und die Erkennung der verschlüsselten Malware schwierig sein kann. Mit dieser Technik können gefährliche Dateitypen in eine Organisation geschmuggelt werden und zu einer Malware-Infektion führen.

In Windows 10 führt ein Doppelklick auf die ISO-Datei dazu, dass sie als Disc-Medium gemountet wird, wodurch ein neues Datei-Explorer-Fenster geöffnet wird, das ihren Inhalt anzeigt.

Abbildung 4 – Inhalt der ISO-Datei Dossier Bad.iso.

Darin befindet sich eine Visual Basic Script (VBS)-Datei namens Bewerbungsbogen.vbs die bei einem Doppelklick ausgeführt wird. Eine Möglichkeit, die versehentliche Ausführung bösartiger VBS-Skripte zu verhindern, besteht darin, die Standardanwendung von zu ändern .vbs Dateien in einen Texteditor. Auf diese Weise kann eine direkte Ausführung verhindert werden. Wenn wir diese Datei nun in einem Editor öffnen, sehen wir folgenden Code (Abbildung 5).

Abbildung 5 – VBS-Code mit Variablen und Datendefinitionen.

Das Skript enthält Variablen, z. B. einen Registrierungsschlüssel oder einen Pfad zu PowerShell.exe, und einige verschlüsselte Daten. Wenn das Skript ausgeführt wird, erstellt es einen neuen Registrierungsschlüssel und speichert darin eine lange hexadezimale Zeichenfolge. Dann wird PowerShell ausgeführt und ein verschlüsselter Befehl übergeben. Die entsprechenden Codesequenzen sind in Bild 6 zu sehen.

Abbildung 6 – Visual Basic-Skriptcode, der die PowerShell-Ausführung enthält.

Das PowerShell-Skript verwendet C#-Typdefinitionen, um Windows-API-Funktionen aufzurufen. Zuerst allokiert das Skript einen Speicherbereich mit NtAllocateVirtualMemory. Dann wird der zuvor gespeicherte Hexadezimal-String aus der Registry gelesen und ein neues Byte-Array erstellt. Das Array wird mit kopiert RtlMoveMemory in den neu zugewiesenen Speicherbereich. Das kopierte Byte-Array ist Shellcode, der über einen API-Aufruf an ausgeführt wird CallWindowProcW. Dazu wird der Funktion als erstes Argument nur die Speicheradresse des Shellcodes übergeben (WNDPROZ), die als Rückrufadresse verwendet wird, die die Ausführung von Malware verursacht.

Abbildung 7 – PowerShell-Code, der C#-Typdefinitionen verwendet, um schädlichen Code auszuführen.

Die Analyse des Shellcodes mit einem Debugger zeigt eine einfache Entschlüsselungsfunktion ganz am Anfang des Codes. Anschließend wird der Code mit einer XOR-Operation, die sich direkt hinter der Entschlüsselungsfunktion befindet, entschlüsselt und anschließend ausgeführt.

Abbildung 8 – Shellcode-Entschlüsselungsfunktion.

Der entschlüsselte Code ist GuLoader. Diese Malware ist ein Loader, der andere Malware-Familien aus dem Internet herunterlädt und ausführt. In dieser Kampagne wurde GuLoader so konfiguriert, dass es RemcosRAT-Malware herunterlädt und ausführt. Dazu gibt es in der GuLoader-Konfiguration zwei URLs, die auf die RemcosRAT-Payload führen. Eine Payload-URL führt zu OneDrive und die andere zu Dropbox. Wir haben andere Malware-Kampagnen mit GuLoader analysiert, die ebenfalls Filesharing-Dienste zum Hosten von Malware-Payloads genutzt haben. Da die Nutzdaten ebenfalls verschlüsselt sind, kann es für Dienstanbieter schwierig sein, sie zu erkennen und zu entfernen.

Gelieferte Nutzlast

Remcos ist ein kommerzielles Windows-Remote-Access-Tool (RAT), das dem Bediener umfassende Kontrolle über das infizierte System gibt. Zu seinen Funktionen gehören das Ausführen von Remote-Befehlen, das Herunterladen und Hochladen von Dateien, das Erstellen von Screenshots, das Aufzeichnen von Tastenanschlägen und das Aufzeichnen der Webcam und des Mikrofons des Benutzers. Wir wissen zwar nicht genau, wofür der Angreifer seinen Zugang verwendet hätte, aber hier sind einige Möglichkeiten:

  • Langfristig anhaltender Zugriff mit dem Ziel, betrügerische Transaktionen durchzuführen, beispielsweise über das SWIFT-Zahlungssystem. Dies würde erfordern, dass der Bedrohungsakteur Tools bereitstellt, um das Netzwerk zu verstehen, sich seitlich zu bewegen, interne Verfahren zu überwachen und sie zu nutzen. Der Angreifer könnte die Position des Mitarbeiters in der Bank ausnutzen, da er Zugriff auf sein Firmen-E-Mail-Konto hätte.
  • Bewegen Sie sich seitlich mit dem Ziel, Domänencontroller zu kompromittieren, um Ransomware bereitzustellen. Sie könnten auch sensible/geschützte Daten stehlen, die zur Erpressung des Ziels verwendet werden könnten.
  • Verkaufen Sie ihren Zugriff an einen anderen Bedrohungsakteur.

Fazit

HP Wolf Security hat eine gezielte Malware-Kampagne im Bankensektor in Afrika entdeckt. Der Angreifer schickte E-Mails von typosquatierten Domains einer seriösen Bank, die sie dazu verlockten, sich um einen Job zu bewerben, indem sie einen böswilligen Anhang öffneten. Öffnet der Nutzer die HTML-Datei, wird er aufgefordert, eine ISO-Datei herunterzuladen, die wiederum ein Visual-Basic-Skript enthält, das bei Ausführung zu einer Malware-Infektion führt. Diese Technik wird als HTML-Schmuggel bezeichnet und ist gefährlich, da sie es Angreifern ermöglicht, bösartige Dateien an der E-Mail-Gateway-Sicherheit vorbei zu schmuggeln.

Der in der beschriebenen Kampagne verwendete Downloader ist GuLoader, der mittels PowerShell über in der Registry hinterlegten Code ausgeführt wird und ansonsten nur im Arbeitsspeicher läuft. Das Erkennen einer solchen Infektionskette ist nicht einfach, da sich die Malware nur im Arbeitsspeicher und der Registry befindet. Eine einfache Möglichkeit, die Infektionskette zu unterbrechen, besteht jedoch darin, die Standardanwendung für Skriptdateien von Windows Script Host auf etwas anderes zu ändern, z. B. Notepad. Unternehmen sollten auch sicherstellen, dass sie Transparenz über ihr Netzwerk haben, um ungewöhnliches Prozessverhalten frühzeitig zu überwachen und zu blockieren. Darüber hinaus ist es wichtig, dass Mitarbeiter E-Mails kritisch hinterfragen, insbesondere solche, die an Dringlichkeit, Neugier und Autorität appellieren – Eigenschaften, die von Angreifern gerne ausgenutzt werden.

Indikatoren für Kompromisse

Die Dateien der folgenden Hashes sind auch auf MalwareBazaar zu finden.

HTML-Datei:

9af5400545853d895f82b0259a7dafd0a9c1465c374b0925cc83f14dd29b29c5

ISO-Datei:

7079ff76eb4b9d891fd04159008c477f6c7b10357b5bba52907c2eb0645887aa

VBS-Skript:

43aaa7f39e9bb4039f70daf61d84b4cde2b3273112f9d022242f841a4829da03

PowerShell-Skript:

0407eab084e910bdd6368f73b75ba2e951e3b545d0c9477e6971ffe6a52a273a

Verschlüsselter GuLoader-Shellcode:

d681b39362fae43843b1c6058c0aa8199673052507e5c500b7361c935037e05e

RemcosRAT-Payload-URLs:

hxxps://onedrive.live[.]com/download?cid=50D26408C26A8B34&resid=50D26408C26A8B34%21114&authkey=AGW61DvT-RT_FRU

hxxps://www.dropbox[.]com/s/veqimnoofpaqmx1/rmss_umUIGF84.bin?dl=1

Verschlüsselte RemcosRAT-Nutzlast:

5d45422cf2c38af734cee5a5c9fa2fef005f9409d5d5b74814aea1a5f246835d

Typosquatted Domains

Die folgenden Domänen wurden vom Angreifer typosquattiert, um sich als glaubwürdige und legitime Organisation auszugeben, und stellen keine Schwachstelle dar, die die Organisation betrifft.

Typosquatted-Domain 1 afbd-schlecht[.]org
Typosquatted-Domain 2 afdb-schlecht[.]org
Typosquatted-Domain 3 afdb-za[.]org

Author: admin

Leave a Reply

Your email address will not be published.