Plötzlich wieder da: Ransomware Locky implementiert Anti-Analyse-Techniken

Keine Kommentare
 

Die Spezialisten der IT-Sicherheitsfirma Proofpoint machten Anfang Juni eine Entdeckung, die bei ihnen nicht etwa Erleichterung, sondern Zweifel auslöste. Das Botnet Necurs, das während der vorangegangenen Monate durch die multi-millionenfache Verteilung von Ransomware und Banking-Malware für Aufsehen sorgte, schien seine Aktivitäten vorübergehend eingestellt zu haben. Die Skepsis der Proofpoint-Experten erwies sich als gerechtfertigt: Bereits am 21. Juni meldete sich Necurs mit einer neuen, umfangreichen Malware-Kampagne per E-Mail zurück. Im Anhang befand sich die Ransomware Locky – und zwar in einer neuen, noch gefährlicheren Variante.


Virus Gefunden

Plötzlich wieder da: Ransomware Locky implementiert Anti-Analyse-Techniken
(pixabay.com / bykst)

Das Necurs-Botnet, das sich aus schätzungsweise 6,1 Millionen mit dem Rootkit Necurs infizierten Rechnern zusammensetzt, wird weithin als das größte existierende Botnet betrachtet. Mittels verteilter Command-and-Control-Systeme werden betroffene Rechner unter anderem zum Verteilen weiterer Malware per E-Mail missbraucht. Die Experten von Proofpoint konnten den Grund für das vorübergehend stark reduzierte Spam-Aufkommen durch Necurs nicht benennen. Mittels einer IP-Adress-Analyse konnten sie jedoch feststellen, dass das Botnet mittlerweile wieder aktiv und für die neuen Mails mit Locky im Anhang verantwortlich ist.

Obfuskierter Code und zeitbasierte Abwehrmechanismen

Statt Word-Dateien mit Makro-Code enthalten Necurs Spam-Mails nun als Rechnungen getarnte Zip-Dateien, in denen sich ein JavaScript befindet. Letzteres wird nach einem Doppelklick per Windows Script Host gestartet; es lädt die eigentliche Malware von einer verschlüsselt gespeicherten URL nach und führt sie auf dem betroffenen System aus. Hier verbirgt sich der erste Anti-Analyse-Trick: Der Schadcode wird zunächst in obfuskierter (also verschleierter) Form heruntergeladen und vom JavaScript-Code unter Übergabe des Parameters “123” gestartet. Der Parameter dient zum Entschlüsseln der Ransomware und muss somit auch im Rahmen einer eigenständigen Malware-Analyse übergeben werden, was sich je nach verwendetem Tool als schwierig erweisen kann.

Ein weiterer Schutzmechanismus befindet sich in Lockys eigentlichem Programmcode: Die Ransomware misst die Anzahl der CPU-Zyklen, die für die Ausführung bestimmter Windows-APIs benötigt wird. Fällt diese besonders hoch aus, wurde die Malware mit hoher Wahrscheinlichkeit zu Analyse-Zwecken in einer virtuellen Maschine gestartet.

Laut Proofpoint wurden am ersten Tag der neuen E-Mail-Kampagne lediglich 10 % Prozent des höchsten bisher gemessenen Necurs-Aussendevolumens erreicht. Es ist jedoch zu erwarten, dass sowohl Locky als auch Dridex in den kommenden Wochen wieder häufiger in den E-Mail-Postfächern landen werden. Nutzer sollten dementsprechend wachsam sein und im Hinterkopf behalten, dass es sich bei Dateianhängen mit der Endung “.js” keinesfalls um Rechnungen, sondern höchstwahrscheinlich um gefährliche JavaScripts handelt.

 

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen