PWOBot: Gefährliche Python-Malware mit Cross-Plattform-Potenzial

Keine Kommentare
 
Platine mit Chip

Eine neue Malware Form mit Namen PWOBot macht das Internet unsicher. (RemazteredStudio / Pixabay.com)

Das auf Netzwerksicherheit spezialisierte Unternehmen Palo Alto Networks mit Sitz in Kalifornien berichtete Ende April von der Entdeckung einer neuen Malware-Familie. Die größte Besonderheit des auf den Namen PWOBot getauften Schädlings besteht darin, dass er vollständig in der Programmiersprache Python geschrieben und mit dem Tool PyInstaller in eine .exe-Datei umgewandelt wurde. Angriffsziel der Malware war bisher in allen bekannten Fällen Microsoft Windows. Dank Pythons weitgehender Plattformunabhängigkeit sind künftige Varianten für Linux oder OS X jedoch durchaus denkbar.

Ein ebenso interessantes wie gefährliches Merkmal von PWOBot ist sein modularer Aufbau, der das flexible Einbinden neuer (Schad-)Funktionen zur Laufzeit ermöglicht. Bisher wurden insgesamt 12 Varianten entdeckt, deren Unterschiede jedoch vorrangig auf eine Optimierung der Performance abzuzielen scheinen.

Nach Angaben von Palo Alto erfolgte die Verbreitung des bereits seit 2013 bekannten, in letzter Zeit jedoch vermehrt auftretenden und erst jetzt gegenüber der Öffentlichkeit erwähnten PWOBot vornehmlich über einen Filesharing-Dienst. Dateinamen wie “Easy Barcode Creator 2.2.6.exe” oder “Quick PDF to Word 3.0.exe” legen die Vermutung nahe, dass Endnutzer die Malware in der Annahme herunterluden, dass es sich um legitime Software handele. Auch Phishing-Attacken könnten zum Download von PWOBot geführt haben.

Auffällig ist, dass zahlreiche Unternehmen Opfer von Infektionen mit der Malware wurden: Palo Alto nennt im Rahmen eines Blogeintrags auf researchcenter.paloaltonetworks.com eine nationale Forschungseinrichtung, eine Reederei, ein großes Einzelhandels- und ein IT-Unternehmen aus Polen, ein dänisches Bauunternehmen sowie einen französischen Anbieter für optisches Equipment.

Bitcoin-Mining, Keylogging und verschlüsselter Netzwerkverkehr

Zu den von Palo Alto beobachteten PWOBot-Funktionalitäten zählen unter anderem das Generieren eines lokalen HTTP-Servers, das Herunterladen und Ausführen von Dateien aus entfernten Quellen sowie das Mitloggen von Tastatureingaben und Mausaktivitäten. Zudem ist die Malware in der Lage, auf infizierten Rechnern Bitcoin-Mining zu betreiben – hierzu kommen kompilierte Versionen der Miner-Programme minerd und cgminer zum Einsatz, deren Quellcode im Internet öffentlich abruf- und nutzbar ist. In einigen aktuelleren Varianten von PWOBot wurde statt Bitcoins die ganz ähnliche Kryptowährung Ethereum generiert.

In beiden Fällen wird die Leistung von Grafikkarte und Prozessor zur Generierung neuer Einheiten der digitalen Währung genutzt, was aufgrund des hohen Rechenaufwands zu einer schlechteren Performance des PCs führt. Parallel dazu kann der Anwender trotzdem seine Alltagsaufgaben durchführen.

Die von PWOBot kontaktierten Server sind in einer lokal gespeicherten Konfigurationsdatei aufgelistet, die – ebenso wie in einer zweiten Konfigurationsdatei gespeicherte Werte, die das Verhalten des Schädlings auf dem betroffenen PC festlegen – bei Bedarf aus der Ferne aktualisiert werden können. Sämtliche Kommunikation zwischen Malware und Servern findet verschlüsselt und anonymisiert statt: Zum Tunneln des Datenverkehrs wird der Echtzeitanonymisierungsdienst Tor verwendet.

Als Netzwerkprotokoll dient ein so genanntes Python Dictionary, welches aus Schlüssel-Werte-Paaren besteht, in denen sich Informationen über den infizierten PC – etwa über die Prozessorarchitektur, das Betriebssystem oder lokale Sprach- und Zeiteinstellungen – in strukturierter Form übermitteln lassen. In fest definierten Intervallen kontaktiert PWOBot einen der entfernten Server, der daraufhin Instruktionen zu auf dem System auszuführenden Handlungen zurücksenden kann. Nach deren Durchführung werden die protokollierten Resultate wiederum in Form eines Python-Dictionaries an den Server übermittelt.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen