Kritische Sicherheitslücken in Adobe Flash werden momentan aktiv ausgenutzt. Chinesische Cyber-Kriminelle konnten einen passenden Remote-Access-Trojaner entwickeln, mit dessen Hilfe sie bereits einen Finanzdienstleister angegriffen haben.
In den Cloud-Sandboxes des Sicherheitsexperten Zscaler wurde ein Remote Access Trojan (RAT) identifiziert. Dieser infiziert sein Zielsystem über die beiden Flash-Schwachstellen CVE-2015-5122 und -5123. Der eigentliche Exploit Code wurde vor etwa einem Monat beim Hacking-Team-Leak gestohlen.
Die chinesischen Entwickler von „HttpBrowser RAT“ haben sich den bestehenden Zero-Day-Exploit zunutze gemacht. Im Rahmen einer gezielten Spam-Kampagne haben sie zunächst eine Mails mit einem bösartigen Link verbreitet, der auf einen Remote Server in Hong Kong verweist.
Betätigt ein E-Mail-Empfänger des Link, dann wird ein infizierter ShockWave-Flash-Inhalt heruntergeladen. Dieser ist auf die Schwachstelle CVE-2015-5119 angewiesen, um anschließend den HttpBrowser RAT vom selben Server herunterzuladen und zu installieren. Dieser Trojaner ist bereits seit etwa zwei Jahren in Umlauf, wurde aber im Rahmen der aktuellen Angriffe überarbeitet und neu kompiliert.
Das heruntergeladene Installationsarchiv wurde als svchost.exe getarnt und besteht seinerseits aus drei Komponenten: Die Datei „VPDN_LU.exe“ ist eine legitime und digital signierte Datei aus den Antivirus-Beständen von Symantec und soll eine Identifizierung des Schadcodes erschweren. Bei der Datei „navlu.dll“ handelt es sich um eine gefälschte Symantec-DLL, die ihrerseits die dritte Komponente „navlu.dll.url“ – also den Malware-Payload – entschlüsselt und ausführt.
Im Rahmen der Installation setzen die Schadcode-Entwickler dementsprechend auf DLL Highjacking, um Windows dazu zu bringen, die maliziöse Anwendungsbibliothek auszuführen. Eine Infektion lässt sich im aktuellen Fall daran erkennen, dass in der Registry im Bereich HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run der Schlüssel vpdn „%ALLUSERPROFILE%\%APPDATA%\vpdn\VPDN_LU.exe” angelegt wird.
Die Flash-Lücken werden im europäischen Bereich offenbar noch nicht ausgenutzt. Der aktuelle Fall ist aber ein Beweis für die Machbarkeit. Weitere Informationen zu dem aktuellen Angriff finden sich auch im Research-Blog von Zscaler.
