LDR4: Alte Malware in neuem Gewand

Eine neue Variante der URSNIF-Malware, die erstmals im Juni 2022 beobachtet wurde, stellt laut den Sicherheitsforschern von Mandiant einen wichtigen Meilenstein für das Tool dar. Im Gegensatz zu früheren Versionen von URSNIF handelt es sich bei dieser neuen Variante mit der Bezeichnung LDR4 nicht um einen Bankbetrüger, sondern um eine allgemeine Backdoor (ähnlich der kurzlebigen SAIGON-Variante), die möglicherweise absichtlich entwickelt wurde, um Operationen wie Ransomware und Erpressung durch Datendiebstahl zu ermöglichen. Dies ist eine erhebliche Abweichung von dem ursprünglichen Zweck der Malware, Bankbetrug zu ermöglichen, steht aber im Einklang mit der allgemeinen Bedrohungslage.

Mandiant geht davon aus, dass dieselben Bedrohungsakteure, die die RM3-Variante von URSNIF betrieben haben, wahrscheinlich auch hinter LDR4 stecken. Angesichts des Erfolgs und der Raffinesse von RM3 könnte LDR4 eine besonders gefährliche Variante sein, die in der Lage ist, Ransomware zu verbreiten, und die genau beobachtet werden sollte.

Kurze Geschichte

Als eine der ältesten noch aktiven Banking-Malware-Familien überrascht es nicht, dass URSNIF (auch bekannt als Gozi oder Gozi/ISFB) eine lange und abenteuerliche Geschichte hat, die manchmal mit anderen Malware-Familien und -Varianten verwoben ist. Sein Quellcode wurde seit dem Erscheinen der ersten größeren Version im Jahr 2016 mindestens zweimal geleakt, was zu weiteren Varianten führte, von denen heute noch mehrere im Umlauf sind (z. B. IAP). Das bedeutet, dass es sich weder bei Gozi noch bei URSNIF um eine einzelne Malware-Familie handelt, sondern eher um eine Reihe verwandter Geschwister (üblicherweise als Varianten bezeichnet). Die meisten Forscher haben sich heute auf den Namen der Malware-Familie Gozi geeinigt, aber aus historischen Gründen bezeichnen andere Forscher und Anbieter – darunter Mandiant – diese Varianten immer noch als URSNIF (die ältere Malware, aus der Gozi Mitte der 2000er Jahre mit Haxdoor hervorging) oder sogar als ISFB (der technisch gesehen der jüngste lebende Zweig dieser Banking-Malware-Familie ist). Der Klarheit halber verwenden wir in diesem Blog-Beitrag die Bezeichnung URSNIF (gemäß dem Namensschema von Mandiant großgeschrieben), wenn wir uns auf die aktuellen Varianten beziehen, die heute noch aktiv sind.

In den letzten Jahren wurden mehrere Varianten von URSNIF, die auf ISFB basieren, in freier Wildbahn beobachtet, darunter:

Dreambot – eine der erfolgreichsten Varianten

IAP – Der am aktivsten entwickelte und verbreitete ISFB-Zweig mit häufigen Malware-Kampagnen, die von CUTWAIL ausgehen und auf Italien abzielen

RM2 – auch bekannt als GoziAT, begann seine Aktivität vor Jahren mit der Chanitor-Malware (auch bekannt als Hancitor)

RM3 – Aufgrund des benutzerdefinierten Formats der ausführbaren Datei ist dies die bisher raffinierteste Version, die seit 2017 vor allem in Ozeanien und Großbritannien aktiv ist.

Zum Zeitpunkt der Erstellung dieses Artikels deuten Recherchen darauf hin, dass ISFB der letzte und einzige aktive Zweig der berüchtigten Banking-Malware URSNIF sein könnte. In den letzten drei Jahren hat diese Banking-Malware einige interessante Veränderungen erfahren, die auf einen größeren Paradigmenwechsel und eine Neugestaltung des gesamten Projekts hindeuten.

Genealogie der verschiedenen URSNIF-Zweige und -Varianten

Aus der Sicht eines Malware-Entwicklers ist es eine komplizierte Aufgabe, Updates für so viele verschiedene Projekte (oder in diesem Fall Forks) bereitzustellen, was unweigerlich zu Sackgassen und Fehlern führt. Mandiant ist der Ansicht, dass sich IAP 2.0 & RM2-Builds über Version 2.50.000 und RM3-Builds über Version 3.00.700 auf die Entfernung unnötiger Funktionen konzentrieren und alle Forks und Entwicklungszweige in einem einzigen Hauptzweig zusammenführen. Einige der bemerkenswerten Änderungen, die diese Vereinheitlichung unterstützen sollen, sind

Der öffentliche RSA-Schlüssel wird jetzt mit einem sehr spezifischen, eingebetteten Entschlüsselungsschlüssel verschlüsselt, und dieser wurde schrittweise in alle Varianten übernommen

Das Jahr 2020 war für die RM3-Variante sehr erfolglos, da die Zuverlässigkeit der Verteilung abnahm und mehrere Backends zusammenbrachen (vor allem in Europa). Darüber hinaus konnte diese spezielle Variante die Gelegenheit nicht nutzen, ihre Popularität zu steigern und mit der Unterbrechung von TRICKBOT und EMOTET Marktanteile zu gewinnen. Einer der größten Gewinner dieser Entwicklung war die ICEDID-Malware-Familie, der es gelang, die schrumpfende Konkurrenz in der Banking-Malware-Landschaft für sich zu nutzen und RM3 in eine schwierige Situation zu bringen. Es war äußerst ungewöhnlich, dass die ISFB-Variante von URSNIF nach Juni 2020 keine Updates mehr erhielt, so dass einige Forscher die Hypothese aufstellten, dass die einzige Möglichkeit für diese Banking-Malware darin bestand, ihren Code umfassend zu überarbeiten. Im Juni 2022, als der Internet Explorer schließlich vollständig aus Microsoft Windows entfernt wurde, galt die RM3-Variante aus technischer Sicht offiziell als „tote“ Malware, da RM3 für einen Teil seiner kritischen Netzwerkkommunikation auf diesen Browser angewiesen war.

Verbreitung

Mandiant beobachtete LDR4 erstmals am 23. Juni 2022 in freier Wildbahn, und zwar über eine Anwerbe-E-Mail, die der bereits im April 2021 gemeldeten Verbreitung von RM3 ähnelt.  Die E-Mail enthält einen Link zu einer kompromittierten Website, die auf eine Domain umleitet, die sich als legitimes Unternehmen ausgibt. Eine CAPTCHA-Aufforderung fordert zum Herunterladen eines Excel-Dokuments auf, das angeblich Informationen im Zusammenhang mit dem E-Mail-Köder enthält. Dieses Dokument lädt dann die LDR4-Nutzdaten herunter und führt sie aus. Eine ähnliche Kette, die zu LDR4 führt, wurde später beobachtet, allerdings mit einem Köder, der sich auf eine Buchhaltungssoftware bezieht.

Neben dem Bereich HR/Rekrutierung beobachtete Mandiant RM3 auch bei konventionellen Zahlungs-/Rechnungsködern, die XLM 4.0-Makros in Excel-Dokumentanhängen nutzen, um die Nutzdaten herunterzuladen. Im April 2022 beobachteten die Forscher die letzte Verbreitung über UNC2420 als heruntergeladene Nutzlast des MOTEISLAND-Dokuments. Mandiant verfolgt UNC2420 als ein Verbreitungs-Bedrohungscluster, das bösartige Microsoft Word-Dokumente als Anhänge in Kampagnen mit Betreffs verwendet, die den Anschein erwecken, Antworten auf legitime E-Mail-Ketten zu sein.