✨ 👩🏾‍⚕️ 😢 Schnüffler, die es könnten: Wie die FakeSecurity-Familie Online-Shops infizierte 💥 😸 👩🏿‍🍳

Im Dezember 2018 entdeckten Group-IB-Spezialisten eine neue Sniffer- Familie namens FakeSecurity . Sie wurden von einer kriminellen Gruppe verwendet, die Websites infiziert hat, die von CMS Magento betrieben werden. Eine Analyse ergab, dass in einer kürzlich durchgeführten Kampagne Angreifer mithilfe von Malware Passwörter gestohlen haben. Die Opfer waren die Besitzer von Online-Shopping-Sites, die mit einem JS-Sniffer infiziert waren. Das Incident Response Center für Informationssicherheit, CERT Group-IB, warnte die angegriffenen Ressourcen, und der Analyst der Threat Intelligence Group-IB, Viktor Okorokov, beschloss, darüber zu sprechen, wie kriminelle Aktivitäten identifiziert werden konnten.

Wir erinnern daran, dass Group-IB im März 2019 den Bericht „Kriminalität ohne Bestrafung: Analyse von JS-Sniffer-Familien“ veröffentlichte, in dem 15 Familien verschiedener JS-Sniffer analysiert wurden, mit denen mehr als zweitausend Websites von Online-Shops infiziert wurden.

Einzelne Adresse

Während der Infektion haben die Angreifer einen Link zu einem böswilligen Skript in den Site-Code eingefügt, dieses Skript wurde geladen und zum Zeitpunkt der Zahlung für die Ware wurden die Zahlungsdaten des Online-Shop-Besuchers abgefangen und anschließend an den Server des Angreifers gesendet. In den frühen Stadien von Angriffen mit FakeSecurity befanden sich böswillige Skripte und Sniffer-Gates auf derselben magento-security [.] Org-Domain.

Später wurden einige Magento-Sites mit derselben Sniffer-Familie infiziert, doch dieses Mal verwendeten die Angreifer neue Domainnamen, um den bösartigen Code zu hosten:

fiswedbesign [.] com
alloaypparel [.] com

Beide Domainnamen wurden unter derselben E-Mail-Adresse registriert: greenstreethunter @ india [.] Com . Dieselbe Adresse wurde bei der Registrierung des dritten Domainnamens firstofbanks [.] Com angegeben .

Überzeugende Anfrage

Eine Analyse der drei neuen Domänen, die von der Kriminalitätsgruppe FakeSecurity verwendet wurden, ergab, dass einige von ihnen an der im März 2019 begonnenen Kampagne zur Verbreitung von Malware beteiligt waren. Angreifer verteilten Links zu Seiten, auf denen angegeben wurde, dass der Benutzer das fehlende Plug-in installieren muss, damit das Dokument korrekt angezeigt wird. Wenn der Benutzer die Anwendung herunterlädt, wurde sein Computer mit Malware infiziert, um Kennwörter zu stehlen.

Insgesamt wurden 11 eindeutige Links aufgedeckt, die zu gefälschten Seiten führten, auf denen der Benutzer aufgefordert wurde, Malware zu installieren.

hxxps: //www.etodoors.com/uploads/Statement00534521 [.] html
hxxps: //www.healthcare4all.co.uk/manuals/Statement00534521 [.] html
hxxps: //www.healthcare4all.co.uk/lib/Statement001845 [.] html
hxxps: //www.healthcare4all.co.uk/doc/BankStatement001489232 [.] html
hxxp: //verticalinsider.com/bookmarks/Bank_Statement0052890 [.] html
hxxp: //thepinetree.net/n/docs/Statement00159701 [.] html
hxxps: //www.readicut.co.uk/media/pdf/Bank_Statement00334891 [.] html
hxxp: //www.e-cig.com/doc/pdf/eStmt [.] html
hxxps: //www.genstattu.com/doc/PoliceStatement001854 [.] html
hxxps: //www.tokyoflash.com/pdf/statment001854 [.] html
hxxps: //www.readicut.co.uk/media/pdf/statment00789 [.] html

Ein potenzielles Opfer einer böswilligen Kampagne erhielt eine Spam-E-Mail. Der Brief enthielt einen Link zu einer Seite der ersten Ebene. Diese Seite ist ein kleines HTML-Dokument mit einem Iframe, dessen Inhalt von einer Seite der zweiten Ebene geladen wird. Die Seite der zweiten Ebene ist eine Zielseite mit Inhalten, die den Empfänger auffordert, eine bestimmte ausführbare Datei zu installieren. Im Fall dieser böswilligen Kampagne verwendeten die Angreifer eine Zielseite mit dem Thema, das fehlende Plug-In für Adobe Reader zu installieren. Die Seite der ersten Ebene ahmte daher einen Link zu einer PDF-Datei nach, die in einem Browser im Online-Anzeigemodus geöffnet wurde. Die Seite der zweiten Ebene enthält einen Link zu einer schädlichen Datei, die als Teil einer schädlichen Kampagne verteilt wurde und die heruntergeladen wird, wenn auf die Schaltfläche " Plugin herunterladen" geklickt wird.

Eine Analyse der in dieser Kampagne verwendeten Seiten ergab, dass sich die Seiten der zweiten Ebene in der Regel in den Domänen der Angreifer befanden, während sich die Seite der ersten Ebene und die direkt böswillige Datei am häufigsten auf den gehackten E-Commerce-Websites befanden.

Beispielseitenstruktur für die Verteilung von Malware

Durch Spam erhält ein potenzielles Opfer einen Link zu einer HTML-Datei, z. B. hxxps: //www.healthcare4all [.] Co [.] Uk / manual / Statement00534521 [.] Html . Die HTML-Datei enthält ein Iframe-Element mit einem Link zum Hauptinhalt der Seite. In diesem Beispiel befindet sich der Seiteninhalt unter hxxps: // alloaypparel [.] com / view / public / Statement00534521 / PDF / Statement001854 [.] pdf . Wie aus diesem Beispiel hervorgeht, verwendeten die Angreifer in diesem Fall die registrierte Domain und nicht die gehackte Site, um den Seiteninhalt zu hosten. In der Oberfläche, die über diesen Link angezeigt wird, befindet sich eine Schaltfläche zum Herunterladen von Plugins . Wenn das Opfer auf diese Schaltfläche klickt, wird die ausführbare Datei über den im Seitencode angegebenen Link heruntergeladen. In diesem Beispiel wird die ausführbare Datei unter hxxps: //www.healthcare4all [.] co [.] uk / manual / Adobe-Reader-PDF-Plugin-2.37.2.exe heruntergeladen , dh , die schädliche Datei selbst wird auf der gehackten Site gespeichert.

MEPHISTOPHELES UNSERER ZEIT

Eine Analyse der alloaypparel [.] Com- Domäne ergab, dass die Malware-Verteilung das Phishing-Kit von Mephistophilus zum Erstellen und Bereitstellen von Phishing-Seiten zum Verteilen von Malware verwendete: Mephistophilus verwendet verschiedene Arten von Zielseiten, die den Benutzer auffordern, das vermeintlich fehlende Plug-in zu installieren, das für die Funktion der Anwendung erforderlich ist. Tatsächlich wird dem Benutzer Malware installiert, ein Link, den der Bediener über das Verwaltungsfeld Mephistophilus hinzufügt.

Das Mephistophilus-System für gezielte Phishing-Angriffe wurde im August 2016 in geheimen Foren eingeführt. Dies ist ein Standard-Phishing-Kit, das Web-Fakes verwendet und unter dem Deckmantel eines Plugin-Updates (MS Word, MS Excel, PDF, YouTube) Malware-Downloads anbietet, um den Inhalt eines Dokuments oder einer Seite anzuzeigen. Mephistophilus wurde vom Benutzer von Untergrundforen unter dem Spitznamen Kokain entwickelt und zum Verkauf freigegeben. Um mit einem Phishing-Kit erfolgreich zu infizieren, muss ein Angreifer den Benutzer auffordern, auf den Link zu der von Mephistophilus erstellten Seite zu klicken. Unabhängig vom Thema der Phishing-Seite wird eine Meldung angezeigt, dass Sie das fehlende Plug-In installieren müssen, um ein Online-Dokument oder YouTube-Video korrekt anzuzeigen. Zu diesem Zweck verfügt Mephistophilus über verschiedene Arten von Phishing-Seiten, die legitime Dienste imitieren:

Microsoft Office365 Word oder Excel Online Document Viewer
Online PDF Viewer
YouTube-Klonseite

Verletzt

Als Teil der böswilligen Kampagne beschränkte sich die kriminelle Gruppe nicht nur auf die Verwendung von selbst registrierten Domain-Namen: Angreifer verwendeten auch mehrere Websites im Online-Shop, die zuvor mit dem FakeSecurity-Sniffer infiziert worden waren, um Beispiele verteilter bösartiger Dateien zu speichern.

Insgesamt wurden 5 eindeutige Links zu 5 eindeutigen Malware-Beispielen gefunden, von denen 4 auf gehackten Websites mit CMS Magento gespeichert wurden:

hxxps: //www.healthcare4all [.] co [.] de / handbücher / Adobe-Reader-PDF-Plugin-2.37.2.exe
hxxps: //www.genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
hxxps: // firstofbanks [.] de / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
hxxp: // e-cig [.] de / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
hxxp: // thepinetree [.] net / docs / msw070619.exe

Bei den Malware-Beispielen, die in dieser Kampagne verteilt werden, handelt es sich um Beispiele für den Vidar-Styler, mit dem Kennwörter aus Browsern und einigen Anwendungen gestohlen werden. Er weiß auch, wie er Dateien anhand festgelegter Parameter sammelt und an die Verwaltungskonsole überträgt, was beispielsweise den Diebstahl von Cryptocurrency-Wallet-Dateien erleichtert. Vidar präsentiert Malware-as-a-Service: Alle gesammelten Daten werden an das Gate übertragen und dann an das zentrale Administrationspanel gesendet, wo jeder Käufer des Stylers die von infizierten Computern stammenden Protokolle einsehen kann.

Fähiger Dieb

Vidar Styler erschien im November 2018. Es wurde von einem Benutzer unter dem Pseudonym Loadbaks entwickelt und in Untergrundforen zum Verkauf angeboten. Laut der Beschreibung des Entwicklers kann Vidar Passwörter von Browsern, Dateien über bestimmte Pfade und Masken, Bankkartendaten, Cold Wallet-Dateien, Telegramm- und Skype-Korrespondenz sowie den Browserverlauf von Websites stehlen. Der Mietpreis des Stylers liegt zwischen 250 und 300 US-Dollar pro Monat. Das Admin-Panel des Stylers und die als Gates verwendeten Domains befinden sich auf den Servern der Vidar-Autoren, wodurch die Infrastrukturkosten für die Kunden gesenkt werden.

Im Fall der böswilligen Datei msw070619.exe wurde nicht nur über die Mephistophilus-Zielseite verbreitet, sondern auch eine böswillige DOC-Datei BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1) , die diese ausführbare Datei mithilfe von Makros auf dem Datenträger ablegt. Die DOC-Datei BankStatement0040918404.doc wurde als Anhang an böswillige E-Mails angehängt, deren Verteilung Teil einer böswilligen Kampagne war.

Bereite den Angriff vor

Der erkannte Brief (MD5: 53554192ca888cccbb5747e71825facd) wurde an die Kontaktadresse der Site gesendet, auf der CMS Magento ausgeführt wird. Daraus kann geschlossen werden, dass die Administratoren von Online-Shops eines der Ziele der böswilligen Kampagne waren und der Zweck der Infektion der Zugriff auf das Administrations-Panel von Magento und anderen E-Commerce war -Plattformen zur nachträglichen Installation eines Sniffers und zum Diebstahl von Kundendaten aus infizierten Geschäften.

Somit bestand das Infektionsschema insgesamt aus den folgenden Schritten:

Die Angreifer haben das Administrationsfenster von Mephistophilus Phishing Kit auf dem Host alloaypparel [.] Com bereitgestellt .
Angreifer platzieren böswillige Malware zum Diebstahl von Passwörtern auf gehackten legitimen Websites und auf ihren eigenen Websites.
Mithilfe eines Phishing-Kits stellten Angreifer mehrere Zielseiten für die Verteilung von Malware bereit und erstellten schädliche Dokumente mit Makros, mit denen Malware auf den Computer eines Benutzers heruntergeladen wurde.
Angreifer führten eine Spam-Kampagne durch, um Briefe mit böswilligen Anhängen sowie Links zu Zielseiten für die Installation von Malware zu versenden. Zumindest ein Teil der Ziele des Angreifers sind die Administratoren von Websites im Online-Shop.
Wenn der Computer des Administrators erfolgreich kompromittiert wurde, wurden die gestohlenen Anmeldeinformationen verwendet, um auf das Verwaltungsfenster des Geschäfts zuzugreifen und den JS-Sniffer zu installieren, um Bankkarten von Benutzern zu stehlen, die auf der infizierten Site Zahlungen ausführen.

Link zu anderen Angriffen

Die angreifende Infrastruktur wurde auf einem Server mit der IP-Adresse 200.63.40.2 bereitgestellt, der zum Servermietdienst [.] Com von Panamaservers gehört. Vor der FakeSecurity-Kampagne wurde dieser Server zum Phishing sowie zum Hosten von Verwaltungsbereichen verschiedener Schadprogramme zum Stehlen von Kennwörtern verwendet.

Basierend auf den Besonderheiten der FakeSecurity-Kampagne können wir davon ausgehen, dass die auf diesem Server befindlichen Verwaltungsbereiche der Lokibot- und AZORUlt-Styler bei früheren Angriffen derselben Gruppe im Januar 2019 verwendet werden könnten. Laut diesem Artikel verteilten unbekannte Angreifer am 14. Januar 2019 Lokibot-Malware per Massenmailing mit einer schädlichen DOC-Datei in einem Anhang. Am 18. Januar 2019 wurde auch eine Mailingliste mit schädlichen Dokumenten erstellt, in der die AZORUlt-Malware installiert ist. Die Analyse dieser Kampagne ergab die folgenden Verwaltungsbereiche auf dem Server mit der IP-Adresse 200.63.40.2:

http [:] // chuxagama [.] de / web-get / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
http [:] // umbra-diego [.] de / wp / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
http [:] // chuxagama [.] de / web-get / Panel / five / index.php (AZORUlt)

Die Domainnamen chuxagama [.] Com und umbra-diego [.] Com wurden vom selben Benutzer mit der E-Mail-Adresse dicksonfletcher@gmail.com registriert. Dieselbe Adresse wurde verwendet, um den Domainnamen worldcourrierservices [.] Com im Mai 2016 zu registrieren, der dann als Site für das betrügerische Unternehmen World Courier Service verwendet wurde.

Aufgrund der Tatsache, dass Angreifer im Rahmen der FakeSecurity-Malware-Kampagne Malware verwendeten, um Kennwörter zu stehlen und über Spam-E-Mails zu verteilen, und auch einen Server mit einer IP-Adresse von 200.63.40.2 verwendeten, kann davon ausgegangen werden, dass im Januar 2019 eine böswillige Kampagne durchgeführt wurde die gleiche kriminelle Gruppe.

Indikatoren

Dateiname Adobe-Reader-PDF-Plugin-2.37.2.exe

MD5 3ec1ac0be981ce6d3f83f4a776e37622
SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
Größe 615984

Dateiname Adobe-Reader-PDF-Plugin-2.31.4.exe

MD5 58476e1923de46cd4b8bee4cdeed0911
SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
Größe 578048

Dateiname Adobe-Reader-PDF-Plugin-2.35.8.exe

MD5 286096c7e3452aad4acdc9baf897fd0c
SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
Größe 1069056