Neue Banking-Malware für Credential-Diebstahl greift USA und Kanada an

[post-views]
Dezember 29, 2020 · 3 min zu lesen
Neue Banking-Malware für Credential-Diebstahl greift USA und Kanada an

Der Bankensektor war schon immer ein attraktives Ziel für Cyberkriminelle. Nachdem Zeus und Gozi im Jahr 2007 aufkamen, machten prominente Banking-Trojaner regelmäßig Schlagzeilen, indem sie die Konten der Kunden leer räumten. Kürzlich haben Sicherheitsforscher ein weiteres Mitglied der Finanz-Malware-Familie entdeckt. Dieses Mal richtet sich die Kampagne gegen den amerikanischen und kanadischen Bankensektor, der seit Anfang 2020 von einem neuen Credential Stealer ins Visier genommen wurde.

Kampagnenübersicht

Obwohl die bösartigen Aktivitäten in den ersten Monaten des Jahres 2020 ihren Ursprung hatten, erkannten Sicherheitsforscher den neuen Credential Stealer erst im dritten Quartal 2020. Er verwendet offenbar effektive Ausweichtechniken. Zunächst einmal ist die Malware in der Skriptsprache AutoHotKey (AHK) verfasst, was bedeutet, dass sie ohne einen eingebauten Compiler auf einem kompromittierten PC gestartet werden kann. Zweitens lädt die Bedrohung jede bösartige Komponente separat und verwendet dafür verschiedene AutoHotKey-Skripte für unterschiedliche Ziele. Eine Kombination dieser Merkmale ermöglicht es dem Credential Stealer, von Forschern unentdeckt zu bleiben und Sandboxing-Erkennung zu umgehen.

Ein weiteres bemerkenswertes Merkmal dieser bösartigen Kampagne ist, dass sie im Rahmen eines „Hack-for-Hire“-Modells gestartet werden könnte. Die bösartigen Softwarekomponenten sind streng systematisiert. Außerdem werden detaillierte Anleitungs-Kommentare für die Hauptfunktion und Variablen bereitgestellt. Dies sind Anzeichen dafür, dass die Malware möglicherweise entwickelt wurde, um als Dienstleistung genutzt zu werden. Bemerkenswerterweise sind die Anweisungen in russischer Sprache verfasst, was auf ein mögliches Herkunftsland der Entwickler hinweist.

Neue Fähigkeiten der Banking-Malware

Eine mehrstufige Infektionskette beginnt mit mit Makros versehenen Excel-Dokumenten, die vermutlich über Malspam und Spear-Phishing verteilt werden. Sollte das Opfer dazu verleitet werden, ein VBA AutoOpen-Makro zu aktivieren, lässt das Dokument das AutoHotKey (AHK) Downloader-Client-Skript (adb.ahk) mit Hilfe eines tragbaren AHK-Skript-Compilers (adb.exe) fallen und startet es. In diesem Kontext wird adb.ahk für die Persistenz und zur Markierung von Zielen verwendet. Insbesondere nutzt es die Volume-Seriennummer des Laufwerks C, um personalisierte IDs für jedes Opfer zu erzeugen. Diese ID bleibt konstant und wird verwendet, um erfolgreiche Infektionen nachzuverfolgen.

 Nach der Kompilierung und Erreichung der Persistenz legt der Credential Stealer eine „sqlite3.dll“ auf dem betroffenen Gerät ab. Diese DLL führt SQL-Abfragen aus, um Anmeldedaten aus einer Vielzahl von Browsern abzurufen, darunter Microsoft Edge, Google Chrome, Opera, Firefox und Internet Explorer (IE). Anschließend werden die gestohlenen Anmeldedaten entschlüsselt und über eine HTTP POST-Anfrage an den C2-Server gesendet. Es ist erwähnenswert, dass die IE Passwort-Dieb-Komponente einen Open-Source-bösartigen Code verwendet, der in die AutoHotKey-Sprache umgewandelt wurde, während andere Komponenten individuell und AHK-nativ sind.

Erkennung von Credential Stealer-Angriffen

Angesichts der Ausweichfähigkeiten der neuen AutoHotKey-Malware ist die proaktive Angriffserkennung eine vorrangige Aufgabe. Finden Sie die Spuren eines kürzlich entdeckten Credential Stealers, der sich gegen die USA und Kanada richtet, mit kostenfreien Erkennungsinhalten, die auf dem Threat Detection Marketplace von Osman Demir

https://tdm.socprime.com/tdm/info/eBKM4Wg36Rhi/nEbpj3YBmo5uvpkj1M6F/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

MITRE ATT&CK: 

Taktiken: Zugang zu Anmeldedaten, Persistenz, Befehl und Kontrolle

Techniken: Anmeldedaten aus Webbrowsern (T1503), Verknüpfungsmodifikation (T1023), Standard-Anwendungsschicht-Protokoll (T1437)

Melden Sie sich kostenlos an auf dem Threat Detection Marketplace, um weitere wertvolle SOC-Inhalte für proaktive Angriffserkennung zu finden. Werden Sie Teil unseres Threat Bounty-Programms , um eigene Sigma-Regeln zu erstellen und Teil der SOC Prime Threat Hunting Community zu werden. 

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko