Palo Alto Networks hat ein weltweites Distributionsnetz des berüchtigten Banking-Trojaners Ursnif (auch bekannt als Gozi) entdeckt. Ursnif wird in einigen europäischen Ländern, darunter auch in Deutschland, sowie in Japan kontinuierlich bei Angriffen eingesetzt. Als Schlüsseltechnik zur Auslieferung kommen Spam-E-Mails mit einem bösartigen Attachments zum Einsatz, um die Ursnif-Datei dann von einem entfernten Standort herunterzuladen.
Die Kriminellen nutzen für ihre Angriffe zwei Hauptkomponenten: ein Spam-Bot-Netzwerk und mehrere kompromittierte Webserver. Bislang ist noch unklar, ob eine einzelne Gruppe mehrere Länder mit verschiedenen Bedrohungen durch die Nutzung dieser Infrastruktur angreift oder zahlreiche Bedrohungsakteure die Infrastruktur teilen. Die meisten Malware-Dateien hat Palo Alto Networks entweder als Banking-Trojaner oder Downloader-Trojaner klassifiziert. Das Spam-Botnet konzentriert sich auf deren Verbreitung in Deutschland, Japan, Italien, Spanien, Polen und Australien. Die kompromittierten Webserver dienen als Host-System für Banking-Trojaner und Spam-Bot-Dateien, die vom bösartigen Downloader-Programm, das per Spam verteilt wird, heruntergeladen werden.
Der jüngste Anhang, den Palo Alto Networks entdeckt hat, ist ein JavaScript-Downloader, der Ursnif einfach von einem entfernten Standort herunterlädt und auf einer kompromittierten Maschine ausführt.
Der Backdoor-Trojaner Shiotob (auch bekannt als Bebloh oder URLZone) war die bisher am meisten verbreitete Bedrohung in dieser Angriffsserie. Die Forscher identifizierten 75 einzigartige Shiotob-Varianten in sieben Millionen Spam-E-Mails. Interessanterweise kann Shiotob selbst Online-Bankdaten stehlen, aber die Angreifer nutzten Shiotob nur für das Herunterladen der wichtigsten Inhalte, darunter Ursnif.
Die Infektion läuft folgendermaßen ab:
1. Das Opfer erhält eine böswillige E-Mail und öffnet den Anhang, wodurch das Opfersystem mit Shiotob infiziert wird.
2. Shiotob startet die Kommunikation des C2-Servers über HTTPS und empfängt regelmäßig Befehle.
3. Shiotob installiert zusätzliche Malware (wie Ursnif) basierend auf den Befehlen des C2-Servers.
Auf Grundlage der telemetrischen Ergebnisse waren Deutschland, Italien, Japan, Spanien und Polen die Top-Zielländer. In Deutschland kam dabei neben Ursnif auch der Banking-Trojaner KINS zum Einsatz. Die Angreifer haben den Inhalt und das Layout der Spam-Mails maßgeschneidert je nach Ziel, um möglichst viele Empfänger zu täuschen. Einige Wörter und Themen wurden häufiger in den Spam-E-Mails bei allen Sprachen beobachtet, in der deutschen Variante waren dies: „Foto“, „Bestellung“, „Rechnung“ und „Versandbenachrichtigung“.
Als nächstes machten sich die Forscher von Palo Alto Networks auf die Suche nach Malware-Hosting-Webservern, auf die durch die Bedrohung in der Spam-Mail zugegriffen wurde. Dabei stellte sich heraus, dass die Angreifer ihre Infrastruktur redundant machen, indem sie Bedrohungsdateien auf mehrere Server kopieren. Indem die Forscher den Links zu den Servern und bösartigen Dateien folgten, fanden sie mehr als 200 schädliche Dateien auf 74 Servern, die von den Angreifern verwendet wurden. Die meisten davon waren europäische Server von privaten Websites oder kleinen bis mittleren Business-Websites mit veralteten Inhalten. Die Server scheinen von den Besitzern offensichtlich seit Jahren nicht gepflegt worden zu sein, was sie für die Angreifer zur Ausführung ihrer kriminellen Zwecke attraktiv machte.