Zielgerichtete Malwareattacke gegen Webmaster

Gestern ist mir eine wirklich gut gemachte Malware-Kampagne zur Kenntnis gekommen, die es speziell auf Webmaster abgesehen hat. Die Nachrichten, jeweils rund 6 MB groß, bestehen aus zwei Dateien: einer OLG_FRANKFURT_URTEIL_16A29Z2018.pdf“ und einer unterlassungserklaerung-rk1012b.js.

Der Betreff der Mail lautet „VORGANG AZ/2018/RK1012B“. Der Mailtext ist in guten Juristendeutsch abgefasst. Ein Laie wird beim Lesen vermuten, dass der Absender tatsächlich ein Rechtsanwalt ist:

Sehr geehrte Damen und Herren,

hiermit zeige ich an, dass mich unsere Mandantschaft mit der Wahrnehmung ihrer rechtlichen Interessen beauftragt hat.

Die entsprechende Vollmacht liegt hier im Original vor und kann von ihnen als Kopie im angehängten Archiv begutachtet werden.

Gegenstand meiner Beauftragung ist, die von ihnen auf ihrer Website begangene Informationspflichtverletzung, nach Artikel 13 EU-DSGVO, nach der bisher in verschiedenen Gesetzen
geregelten Informationspflichten zusammengefasst und nun aufführt, welche Informationen den Betroffenen explizit zur Verfügung stehen müssen.

Die neue Regelung der EU-DSGVO geht dabei weit über das bisher erforderliche ihrer Website hinaus.

Nehmen Sie die beigefügten Dokumente zur Kenntnis.

Mit freundlichen Grüßen

IM AUFTRAG

Rechtsanwalt Dr. Hans Dittrichs

Das spannende an dieser Malwarekampagne: Die Mails wurden nur an E-Mailadressen gesendet, die tatsächlich etwas mit der betroffenen Website zu tun haben. Ob dabei das Impressum automatisiert ausgelesen wurde oder die Adresse handverlesen sind, ist unklar.
Die Schadfunktion liegt natürlich in der „Unterlassungserklärung“, die Outlook bereits dankenswerterweise wegblockt. Also die Mail als Textfile gespeichert, einen Base64-decoder darauf losgelassen. Folgendes trag dabei zu Tage:

Wenn der Tag schon so anfängt…

Das Javascript wurde professionell „verschlüsselt“, so dass man aus dem Code erst einmal nicht schlau wird. Die weitere Analyse habe ich daher der Online-Sandbox https://www.hybrid-analysis.com/ überlassen. Das Ergebnis zeigt: Was die Virenscanner nicht finden („Detection rate: 2% am 13.12. lt. der Website) findet die Sandbox. Die Malware fungiert zunächst als Downloader und bringt eine Datei namens „gcmsmk1012b.exe“ ins System. Diese wiederum wird von deutlich mehr AV-Herstellern als schädlich erkannt.
Ebenfalls nutzt die Malware powershell.exe, ein Administrationstool von Windows. Als Empfehlung kann ich nur raten, dieses Scriptingmodul präventiv zu deaktivieren. Kaum ein Programm (Ausnahme: administrative Skripte) greifen darauf zu, dem Otto-Normalanwender wird der Verlust der powershell.exe also nicht auffallen.

Die Malware kontaktiert einen Server in Amerika und einen Bulgarien.

Abwehrmaßnahmen

Generell haben Javascript-Dateien in Mails nichts zu suchen. Eine gute Mailgatewaylösung blockt solche Attacken von sich aus weg bzw. lässt sich entsprechend konfigurieren. Das Beispiel zeigt, dass rein signaturbasierte Verfahren in der heutigen Zeit völlig nutzlos sind und den Anwender in einer Scheinsicherheit wiegen.