Bech0r.net

From Geeks for Geeks

RUBELLA EXPLOIT KIT - EIN NEUER PLATZHIRSCH?

Ein Crimeware-Kit namens Rubella Macro Builder setzt auf einen „dirty deeds done dirt cheap“-Ansatz, um im kriminellen Untergrund an Popularität zu gewinnen. Das Kit macht zwei Dinge: Mit einer Point-and-Click-Builder-Funktionalität generiert es eine erste Malware-Payload für Social-Engineering-Spam-Kampagnen und kostet nur $40 pro Monat.

Rubella ist nicht besonders leistungsstark: Es vermeidet die Ausnutzung von Schwachstellen für Social-Engineering-Techniken; die Anwender nutzen es, um E-Mails mit Microsoft Word- oder Excel-E-Mail-Anhängen zu versenden (mit dem Ziel, Opfer dazu zu bringen, bösartige Makros zu aktivieren). Es ist auch nicht sehr anspruchsvoll: Seine bescheidene Absicht besteht darin, relativ einfache Malware für die erste Stufe des Ladevorgangs zu erzeugen, die von den Bedrohungsakteuren für nachfolgende Downloads und Installationen auf den Zielcomputern verwendet werden kann.

Doch der Preis stimmt, und es gibt einige attraktive Features. Eine dreimonatige Lizenz umfasst verschiedene Verschlüsselungsalgorithmen (XOR und Base64), Download-Methoden (PowerShell, Bitsadmin, Microsoft.XMLHTTP, MSXML2.XMLHTTP oder eine benutzerdefinierte PowerShell-Nutzlast), Payload-Ausführungsmethoden (ausführbar, JavaScript, Visual Basic Script) und die Möglichkeit, Social-Engineering-Köder-Themen einfach einzusetzen.

„Obwohl das Kit relativ neu und unkompliziert ist, hat es einen klaren Reiz für Cyberkriminelle: Es ist billig, schnell und kann grundlegende statische Antiviren-Erkennung besiegen“, so Flashpoint-Forscher in einem Blog.

Billig und einfach: Dieser Satz ist Musik in den Ohren von Kriminellen überall, und nicht weniger in der Cyberwelt. Und in der Tat gewinnt sie an Bodenhaftung: Flashpoint-Analysten stellten fest, dass die Verbrecherbanden hinter der Panda- und Gootkit-Bankenmalware den Rubella First-Stage-Loader als ersten Angriffsvektor in zwei kürzlichen, aber getrennten Kampagnen eingesetzt haben.

„Es ist wahrscheinlich, dass die Banden Kunden des Herstellers sind, der Rubella in der Untergrund-Szene anbietet“, sagten die Forscher. „Konkret scheinen die Banden hinter der Panda-Malware-Distribution Kunden über verschiedene Social-Media-Plattformen sowie ein australisches Finanzinstitut über die Web-Inject-Funktionalität von Panda angesprochen zu haben.

Die Makro-Müll- und Substitutionsmethode scheint relativ primitiv zu sein, da sie sich auf grundlegende Stringsubstitutionen stützt. Zusätzlich wird seine Copy/Paste-Implementierung des Base64-Algorithmus in Visual Basic Script (VBS)-Code-Implementierung angezeigt. Der Code wird durch allgemeine Chr-ASCII-Werte verschleiert. Aber für die meisten finanziell motivierten Kriminellen, deren Modell auf der Maximierung der Margen und des Volumens beruht, ist sie genau das Richtige. Und die Infektionstaktik, obwohl sie wohl Fußgänger ist, funktioniert.

„Microsoft Office-Makro-basierte Malware scheint immer noch die bevorzugte Methode der Bedrohungsakteure zu sein, um einen ersten Zugriff auf kompromittierte Computer zu erhalten“, so die Flashpoint-Forscher. „Solche Microsoft Office-basierte Loader-Malware funktioniert gut als erster Köder, der sich als häufig ausgetauschtes Word- oder Excel-Dokument tarnt und sich als normale Microsoft Office- oder Excel-Anhänge ausgibt – und in der Regel über E-Mail-Angriffe verbreitet wird. Der Rubella Macro Builder ist zwar relativ unkompliziert, stellt aber eine mäßige Bedrohung für verschiedene Netzwerke dar.“

Auch Interessant ….

FREI VERKÄUFLICHE EXPLOIT KITS WELTWEIT
staatlich geprüfter Informatiker - IT enthusiast, networks of the future - Erleben was verbindet
Dennis Becher
Autor & Admin

Post Author: Dennis "Der Admin" Becher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.