Der Infektionsverlauf
Erfolgreiche Infektionen durch die Pseudo-Darkleech-Kampagne folgten – unabhängig vom verwendeten Exploit Kit oder der gelieferten Nutzlast – in der Regel einer Reihe von Ereignissen:
Schritt 1: Der Host des Opfers sucht eine kompromittierte Website mit einem böswilligen injizierten Skript auf.
Schritt 2: Das injizierte Skript erzeugt eine HTTP-Anforderung für eine Exploit Kit -Zielseite.
Schritt 3: Die Exploit Kit -Zielseite bestimmt, ob auf dem Computer anfällige browserbasierte Anwendungen laufen.
Schritt 4: Das Exploit Kit sendet einen Exploit für anfällige Anwendungen (z.B. veraltete Versionen von Internet Explorer oder Flash Player).
Schritt 5: Ist der Exploit erfolgreich, sendet das Exploit Kit eine Nutzlast und führt sie als Hintergrundprozess aus.
Schritt 6: Der Host des Opfers ist von der Malware-Nutzlast infiziert.
In einigen Fällen hat die Pseudo-Darkleech-Kampagne ein Tor zwischen der kompromittierten Website und der Exploit Kit-Zielseite verwendet. Allerdings beobachten Forscher von Palo Alto Networks viel häufiger, dass ein injizierter Skript aus der kompromittierten Website direkt auf die Exploit Kit-Zielseite führt.
Von Pseudo-Darkleech verwendete Exploit-Kits
Die Pseudo-Darkleech-Kampagne nutzte das Angler-Exploit-Kit, bis dieses Mitte Juni 2016 verschwand. Wie viele andere Kampagnen wechselte Pseudo-Darkleech daher zum Neutrino-Exploit-Kit und nutzte dieses bis Mitte September 2016. Zu diesem Zeitpunkt stellte Neutrino seinen Betrieb ein. Daraufhin wechselte Pseudo-Darkleech zum Rig-Exploit-Kit, das seitdem genutzt wird.
Auf der Suche nach Exploit-Kit-Aktivitäten mittels seines Bedrohungserkennungsdiensts AutoFocus beobachtete Palo Alto Networks bei Neutrino einen deutlichen Rückgang und einen entsprechenden Anstieg der Aktivitäten des Rig-Exploit-Kits ab Mitte September 2016. Die Forscher fanden aber immer noch Hinweise auf eine Neutrino-Variante von Pseudo-Darkleech, jedoch auf wesentlich reduzierteren Ebenen im Vergleich zu vorher.
Von Pseudo-Darkleech gesendete Nutzlasten
Als die Forscher die Pseudo-Darkleech-Kampagne im März 2016 zuletzt analysiert hatten, lieferte sie TeslaCrypt-Ransomware aus. Seit dieser Zeit hat Pseudo-Darkleech die Ransomware-Nutzlasten mehrmals verändert. Im April 2016 wechselte die Kampagne auf CryptXXX-Ransomware, nachdem TeslaCrypt heruntergefahren wurde und seinen Master-Entschlüsselungscode freigegeben hatte. Im August 2016 hatte Pseudo-Darkleech auf eine neue Variante der CryptXXX-Ransomware namens CrypMIC umgestellt. Im Oktober 2016 stieg Pseudo-Darkleech um auf die Verteilung von Cerber-Ransomware und setzte dies bis Anfang Dezember 2016 fort.
Muster von injiziertem Skript
Jede Exploit Kit-Infektionskette beginnt fast immer mit einem injizierten Skript aus einer bestimmten Kampagne in einer Seite einer kompromittierten Website. Diese Seiten stammen von legitimen Webseiten, die kompromittiert wurden und von der Kampagne verwendet werden. Als die Forscher von Palo Alto Networks zuletzt das von der Pseudo-Darkleech-Kampagne injizierte Skript untersuchten, umfasste dieses einen großen Block aus stark verschleiertem Text, der 12.000 bis 18.000 Zeichen umfasste und bis Juni 2016 verschleiert blieb. Ab 1. Juli 2016 nutzte der injizierte Pseudo-Darkleech-Skript keine Verschleierung mehr und wurde zum geradlinigen iframe. Dieser iframe hat einen Span-Wert bis außerhalb des sichtbaren Bereichs des Web-Browsers. Das injizierte Skript hat sich seither leicht verändert, blieb aber bis zuletzt unverschleiert.
Schlussfolgerung
Vor dem Hintergrund des jüngsten Anstiegs bei Ransomware, beobachten die Experten von Palo Alto Networks weiterhin verschiedene Vektoren sowohl bei gezielten Angriffen als auch in größerem Rahmen. Exploit Kits stellen einen von vielen Angriffsvektoren für Ransomware dar. Die Pseudo-Darkleech-Kampagne war bis zuletzt ein beliebter Verbreitungsweg für Ransomware durch Exploit Kits. Palo Alto Networks geht davon aus, dass sich dieser Trend bis 2017 fortsetzen wird. Domains, IP-Adressen und andere Indikatoren, die mit dieser Kampagne verknüpft sind, ändern sich ständig.
