Angriff in drei Stufen
Bei dieser speziellen Kampagne versuchen die Kriminellen, die Nutzer dazu zu verleiten, ein PDF-Dokument zu öffnen. Hierzu wird in einer E-Mail behauptet, dass ein Reisepass verloren gegangen sei und das beigefügte PDF eine gescannte Kopie des Dokuments enthält, wie infopoint-security.de dazu erläuterte.
Allerdings enthält das PDF eine eingebettete RTF-Datei (Rich Text Format), die wiederum ein eingebettetes Remote-Objekt enthält, das die Microsoft-Schwachstelle CVE-2017-8579 angreift. Dieses eingebettete Remote-Objekt ist eine HTA-Datei (HTML-Applikation).
Das Dekodieren des Inhalts der HTA-Datei führt zu einem PowerShell-Befehl, der eine Datei herunterlädt und ausführt. Die anfänglich heruntergeladene Datei ist eine selbstextrahierende ausführbare Datei (SFX) mit eingebetteten Befehlen zum Extrahieren der zweiten Stufe. Diese zweite Stufe ist ein passwortgeschütztes SFX, das Passwort wird jedoch von der ersten Stufe geliefert.
In der dritten Angriffsphase kopiert sich ComboJack kopiert sich selbst an einen bestimmten Speicherort und verwendet das integrierte Windows-Tool attrib.exe (das zum Festlegen von Dateiattributen verwendet wird), um versteckte Attribute und Systemattribute für sich selbst festzulegen. Dadurch wird die Datei vor dem Benutzer verborgen und die Ausführung mit Berechtigungen auf Systemebene ermöglicht.
Das Geld des Opfers
In einer Endlosschleife prüft ComboJack den Inhalt der Zwischenablage, um festzustellen, ob das Opfer Wallet-Informationen für verschiedene digitale Währungen kopiert hat. Falls eine Wallet, also digitale Brieftasche, die von Interesse ist, entdeckt wird, ersetzt ComboJack sie durch eine fest codierte Brieftasche, um das Geld des Opfers an den gewünschten Ort transferieren zu lassen.
Diese Taktik gelingt nur deshalb, weil Wallet-Adressen typischerweise lang und komplex sind. Um Fehler zu vermeiden, kopieren die meisten Benutzer die Zeichenfolge.
Fazit
Indem die Akteure von ComboJack mehrere Kryptowährungen und webbasierte Brieftaschen ins Visier nehmen, wollen sie sich scheinbar absichern, um gerüstet zu sein, egal welche Währung gerade boomt und welche nicht. Da die Kurse generell weiterhin steigen, wird es wahrscheinlich immer mehr Malware geben, die auf Kryptowährungen abzielt, da diese Taktik den schnellsten Weg zu höchsten Gewinnen verspricht, so infopoint-security.de.
Weiterführende Links:
infopoint-security.de: Neue ComboJack-Malware stiehlt Kryptowährungen
