Threats & Co, Palo Alto Networks

Palo Alto Networks beobachtet Weiterentwicklung der Pseudo-Darkleech-Kampagne – Ransomware-Angriffe basieren auf Exploit Kits

Palo Alto Networks beobachtet Weiterentwicklung der Pseudo-Darkleech-Kampagne – Ransomware-Angriffe basieren auf Exploit Kits

Die Welle an Cyberattacken unter dem Namen „Darkleech“, die Exploit Kits (EKs) zur Bereitstellung von Malware nutzt, läuft nunmehr seit mehreren Jahren und wurde erstmals im Jahr 2012 identifiziert. Die Anti-Malware Experten von Palo Alto Networks haben das jüngste Vorgehen der Cyberkriminellen, den Ransomware nutzen, untersucht und dabei erhebliche Veränderungen entdeckt. Entsprechend wurde die Kampagne umbenannt in„Pseudo-Darkleech“.

Erfolgreiche Infektionen durch die Pseudo-Darkleech-Kampagne folgten – unabhängig vom verwendeten EK oder der gelieferten Nutzlast – in der Regel einer Reihe von Ereignissen:

 

Schritt 1: Der Host des Opfers sucht eine kompromittierte Website mit einem böswilligen injizierten Skript auf.

 

Schritt 2: Das injizierte Skript erzeugt eine HTTP-Anforderung für eine EK-Zielseite.

 

Schritt 3: Die EK-Zielseite bestimmt, ob auf dem Computer anfällige browserbasierte Anwendungen laufen.

 

Schritt 4: Das EK sendet einen Exploit für anfällige Anwendungen (z.B. veraltete Versionen von Internet Explorer oder Flash Player).

 

Schritt 5: Ist der Exploit erfolgreich, sendet das EK eine Nutzlast und führt sie als Hintergrundprozess aus.

 

Schritt 6: Der Host des Opfers ist von der Malware-Nutzlast infiziert.

 

 

In einigen Fällen hat die Pseudo-Darkleech-Kampagne ein Tor zwischen der kompromittierten Website und der EK-Zielseite verwendet. Allerdings beobachten Forscher von Palo Alto Networks viel häufiger, dass ein injizierter Skript aus der kompromittierten Website direkt auf die EK-Zielseite führt.

 

Von Pseudo-Darkleech verwendete Exploit-Kits

Die Pseudo-Darkleech-Kampagne nutzte das Angler-Exploit-Kit, bis dieses Mitte Juni 2016 verschwand. Wie viele andere Kampagnen wechselte Pseudo-Darkleech daher zum Neutrino-Exploit-Kit und nutzte dieses bis Mitte September 2016. Zu diesem Zeitpunkt stellte Neutrino seinen Betrieb ein. Daraufhin wechselte Pseudo-Darkleech zum Rig-Exploit-Kit, das seitdem genutzt wird. Auf der Suche nach Exploit-Kit-Aktivitäten mittels seines Bedrohungserkennungsdiensts AutoFocus beobachtete Palo Alto Networks bei Neutrino einen deutlichen Rückgang und einen entsprechenden Anstieg der Aktivitäten des Rig-Exploit-Kits ab Mitte September 2016. Die Forscher fanden aber immer noch Hinweise auf eine Neutrino-Variante von Pseudo-Darkleech, jedoch auf wesentlich reduzierteren Ebenen im Vergleich zu vorher.

 

Von Pseudo-Darkleech gesendete Nutzlasten

Als die Forscher die Pseudo-Darkleech-Kampagne im März 2016 zuletzt analysiert hatten, lieferte sie TeslaCrypt-Ransomware aus. Seit dieser Zeit hat Pseudo-Darkleech die Ransomware-Nutzlasten mehrmals verändert. Im April 2016 wechselte die Kampagne auf CryptXXX-Ransomware, nachdem TeslaCrypt heruntergefahren wurde und seinen Master-Entschlüsselungscode freigegeben hatte. Im August 2016 hatte Pseudo-Darkleech auf eine neue Variante der CryptXXX-Ransomware namens CrypMIC umgestellt. Im Oktober 2016 stieg Pseudo-Darkleech um auf die Verteilung von Cerber-Ransomware und setzte dies bis Anfang Dezember 2016 fort.

 

Muster von injiziertem Skript

Jede EK-Infektionskette beginnt fast immer mit einem injizierten Skript aus einer bestimmten Kampagne in einer Seite einer kompromittierten Website. Diese Seiten stammen von legitimen Webseiten, die kompromittiert wurden und von der Kampagne verwendet werden. Als die Forscher von Palo Alto Networks zuletzt das von der Pseudo-Darkleech-Kampagne injizierte Skript untersuchten, umfasste dieses einen großen Block aus stark verschleiertem Text, der 12.000 bis 18.000 Zeichen umfasste und bis Juni 2016 verschleiert blieb. Ab 1. Juli 2016 nutzte der injizierte Pseudo-Darkleech-Skript keine Verschleierung mehr und wurde zum geradlinigen iframe. Dieser iframe hat einen Span-Wert bis außerhalb des sichtbaren Bereichs des Web-Browsers. Das injizierte Skript hat sich seither leicht verändert, blieb aber bis zuletzt unverschleiert.

 

Schlussfolgerung

Vor dem Hintergrund des jüngsten Anstiegs bei Ransomware, beobachten die Experten von Palo Alto Networks weiterhin verschiedene Vektoren sowohl bei gezielten Angriffen als auch in größerem Rahmen. Exploit Kits stellen einen von vielen Angriffsvektoren für Ransomware dar. Die Pseudo-Darkleech-Kampagne war bis zuletzt  ein beliebter Verbreitungsweg für Ransomware durch Exploit Kits. Palo Alto Networks geht davon aus, dass sich dieser Trend bis 2017 fortsetzen wird. Domains, IP-Adressen und andere Indikatoren, die mit dieser Kampagne verknüpft sind, ändern sich ständig.

 

Weitere Informationen finden Sie unter www.paloaltonetworks.com