MultiPlug Malware

Anatomie eines Scamware-Netzwerks

| Autor / Redakteur: Ed Miles* / Peter Schmitz

MultiPlug ist eine weitverbreitete Scamware-Familie mit ausgefeilter Hosting-Infrastruktur. Die Malware verleitet Anwender zur Installation einer Anwendung, die dann eine Vielzahl zusätzlicher Spyware-Pakete nachinstalliert.
MultiPlug ist eine weitverbreitete Scamware-Familie mit ausgefeilter Hosting-Infrastruktur. Die Malware verleitet Anwender zur Installation einer Anwendung, die dann eine Vielzahl zusätzlicher Spyware-Pakete nachinstalliert. (Bild: Zscaler)

Bei der Analyse von Daten aus seiner Cloud-Sandbox hat Zscaler kürzlich ein großes MultiPlug-Netzwerk entdeckt. Aufmerksam geworden ist die Internet Security Company auf das MultiPlug-Netzwerk wegen eines Verhaltensmusters, bei dem Zertifikate mittels Code unterzeichnet werden. Auch die Größe seiner Hosting-Infrastruktur war verdächtig.

Bei MultiPlug handelt es sich um eine verbreitete Scamware-Familie, die Nutzer dazu verleitet, eine erste Binärdatei herunterzuladen und zu installieren. Diese holt dann eine Vielzahl an zusätzlichen Spyware-Paketen nach. Nutzer werden mittels manipulierter Suchergebnisse (Search Poisoning) dazu gebracht, die Scamware zu installieren. Als Köder dienen geknackte und legitime Software, Raubkopien von Musik und Filmen sowie andere Dokumente und Daten, die der Anwender möglicherweise sucht.

Sobald der Köder geschluckt ist und die Datei ausgeführt wird, sieht der Nutzer einen von mehreren typisch-aussehenden Installationsassistenten. Es verspricht genau das zu liefern, wonach der Nutzer ursprünglich gesucht hat. Egal ob er den Fehler bemerkt oder nicht: Das Installationsprogramm bezieht weiterhin mehrfach verschlüsselte Dateien von einem dezentralen Webserver. Die Installation dieser Payloads wird selbst dann weiter ausgeführt, wenn der Nutzer “Abbruch”, “Nein” oder “Schließen” drückt. Während des Prozesses fängt die Scamware zudem Systeminformationen ab und sendet sie an die dezentralen Webserver.

Übersicht des Scamware Hosting-Netzwerks (Knotenlegende – Rot: Host, Pink: Domäne, Grün: File-MDS).
Übersicht des Scamware Hosting-Netzwerks (Knotenlegende – Rot: Host, Pink: Domäne, Grün: File-MDS). (Bild: Zscaler)

Mehrere typische Komponenten der Scamware enthalten einen Schadcode namens ‘compfix’. Er wird als Systemdienst installiert, der beim Startvorgang läuft. Ein weiterer typischer Payload ist “SystemStrengthener”.

Neben den bereits genannten, harmlos klingenden Schadroutinen nimmt die Scamware einige Änderungen in der Browser-Konfiguration des Nutzers vor. Falls Chrome installiert ist, werden zwei DLLs in das Installationsverzeichnis von Chrome gelegt, die modifiziert und als leicht veraltete Versionen von ‘chrome.dll’ erscheinen. Chrome und Internet Explorer erhalten zudem Browser-Erweiterungen, die das Nutzerverhalten ausspähen und Werbung liefern. Als Zusatz können die IE Add-Ons nicht ohne Zustimmung des Administrators deinstalliert werden.

Abgesehen von einigen zusätzlichen Layern zur Verschleierung gegenüber vorherigen Versionen sind die technischen Aspekte dieser Malware eher gewöhnlich. Allerdings machen die Größe der Hosting-Infrastruktur und das Verhaltensmuster, eingesetzte Zertifikate mittels Code zu unterzeichnen, diese Kampagne so interessant. Zscaler hat 33 einzigartige Zertifikate entdeckt, die alle von derselben Certificate Authority, nämlich Certum/Unizeto Technologies, erstellt wurden. (Anmerkung: Zscaler hat auch andere Adware-Kampagnen identifiziert, die Certum-Zertifikate nutzen. Sie scheinen mit der hier beschriebenen nicht in Zusammenhang zu stehen.)

Überblick des Scamware Netzwerkes (Knotenlegende – Gelb: Herausgeber, Blau: Unterzeichner, Rot: Host, Pink: Domäne, Grün: File-MD5).
Überblick des Scamware Netzwerkes (Knotenlegende – Gelb: Herausgeber, Blau: Unterzeichner, Rot: Host, Pink: Domäne, Grün: File-MD5). (Bild: Zscaler)

Mit diesen 33 Zertifikaten wurden 2.783 Scamware-Programme unterzeichnet, die auf 447 einzelnen Hosts (323 einzelne Domains) bereitgestellt wurden. Zwar ist es bei Adware-Kampagnen, die auf das Unterzeichnen mittels Code setzen, normal die verwendeten Zertifikate durchzuwechseln. Der Grund ist, dass sie von Anti-Viren und Security Companies geblockt werden. Allerdings zeigt das Volumen von einzigartigen unterzeichneten Zertifikaten im Umlauf, dass hier etwas anders ist. Auch die Daten in den Signaturen deuten darauf hin, dass alle Zertifikate individuellen Personen mit kostenlosen E-Mail-Konten gehören. Dies verhindert simples Blacklisting sowie Zuordnung, weil sich die Kampagne nicht eindeutig zu einer bestimmten Organisation zurückführen lässt.

Angesichts der Struktur dieser MultiPlug-Kampagne liegt der Schluss nahe, dass die Organisation dahinter bösere Absichten hat als herkömmliche Adware-/Scamware-Initiatoren. Allerdings könnte dies auch nur ein Weg sein, um den ROI für die große Infrastruktur zu maximieren, die sie betreiben. Unabhängig von ihren Absichten sollten Unternehmen skeptisch gegenüber Adware sein, auch wenn sie noch so harmlos wirkt. Sie ist nämlich unter Umständen in der Lage, Systeme und Netzwerke auszuspähen, sich auf infizierten Hosts hartnäckig einzunisten, beliebige Schadcodes zu laden sowie die Kontrolle über das System, seinen Anwendungen und seinen Daten zu übernehmen.

* Ed Miles ist Security Researcher in den ThreatLabZ von Zscaler

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43541732 / Malware)