Website der US-Regierung hat Ransomware beherbergt

Am vergangenen Mittwochnachmittag beherbergte eine Website der US-Regierung einen schädlichen JavaScript-Downloader, der seine Opfer dazu brachte, die Erpressersoftware Cerber zu installieren.

Der Forscher Ankit Anubhav von NewSky Security berichtete am Mittwoch via Twitter über diese Entdeckung und innerhalb weniger Stunden wurde der Malware-Link deaktiviert. Es ist nicht bekannt, ob irgendwer über diese Website infiziert wurde.

#Javascript #malware using #powershell hosted on US Government site. Link is still live! cc @USCERT_gov
IOC :: https://t.co/Thoyom3PTF pic.twitter.com/OjX9M7OzDU

— Ankit Anubhav (@ankit_anubhav) August 30, 2017

Ebenfalls unbekannt ist, wie das schädliche Ladeprogramm auf die .gov-Website gelangt ist. Anubhav spekuliert, dass die Site entweder gehackt wurde oder sie möglicherweise Anhänge von E-Mails von Regierungsvertretern speichert und der Downloader archiviert wurde.

Die Forscher wiesen auf Ähnlichkeiten zu der Spamkampagne Blank Slate hin, die früher in diesem Jahr die Ransomware Cerber in Umlauf gebracht hatte. Die E-Mails, die im Rahmen dieser Kampagne verbreitet wurden, enthielten lediglich zwei Zip-Archive, wobei das zweite entweder eine schädliche JavaScript-Datei oder ein schädliches Microsoft Word-Dokument beherbergte. Die E-Mails enthielten keinen Text und Experten sind der Meinung, dass alles so eingerichtet wurde, um eine Detektion zu vermeiden.

Wiederholte an das Heimatschutzministerium gerichtete Bitten um einen Kommentar wurden nicht rechtzeitig vor der Veröffentlichung beantwortet.

Laut Anubhav hat die Website ein .zip-Archiv mit JavaScript gehostet, das obfuskierte PowerShell enthielt. Die PowerShell lädt eine gif-Datei herunter, bei der es sich in Wahrheit um eine ausführbare Cerber-Datei handelt.

Cerber ist seit über einem Jahr in Umlauf und so wie die meisten anderen Familien von Daten verschlüsselnden Erpresser-Familien auch, wurde dieser Schädling mit Hilfe von Exploit-Kits, Spamkampagnen sowie demselben Botnet verbreitet, das auch von der Finanzmalware Dridex benutzt wurde. Früher in diesem Jahr nutzten Angreifer eine kritische Apache Struts-Schwachstelle auf Windows-Servern aus, um Cerber auf den Maschinen zu verteilen.

Anubhav und Mariano Palomo Villafranca, ein Malware-Analyst der spanischen Telefonica, haben am vergangenen Freitag eine Analyse der Attacke veröffentlicht. Darin weisen sie darauf hin, dass die meisten Websites der US-Regierung auf den Weißen Listen der Reputationsservices stehen, was sie zu einem idealen Malware-Host für Angreifer macht, die die Erkennung verhindern wollen.

Anubhav sagte, einem Opfer könnte ein Link auf die Seite geschickt werden, auf der sich die .zip-Datei befindet, und wenn dieser erst einmal auf den Link geklickt hat und sie ausgeführt wird, wird das obfuskierte JavaScript herausgezogen, das dann wiederum die PowerShell startet, welche ihrerseits die Malware von einer bekanntermaßen nicht sauberen Domain herunterlädt.

„Diese Powershell lädt Malware von einer bekannten schädlichen Website herunter und führt sie aus“, erklärt Anubhav. „Alle diese Schritte vollziehen sich selbstverständlich automatisch und die Endnutzer bemerken gar nichts.“

Cerber ist die Payload und bevor der Schädling Dateien auf einer Opfer-Maschine verschlüsselt, überprüft er, ob gewisse Sprachpakete installiert sind, die in den GUS-Staaten verwendet werden, bevor er fortfährt.

Anubhav und Villafranca schreiben, dass es sich bei der ausführbaren gif-Datei um einen NSIS-Installer gehandelt hat, der die JSON-Dateikonfiguration von Cerber extrahiert. Im März fanden Forscher heraus, dass sich Cerber-Infektionen erfolgreich zu verbergen verstanden, indem sie sich vor ihrer Ausführung innerhalb von NSIS-Installern verbargen. Forscher von Deep Instinct erklärten gegenüber Threatpost, dass die Cerber-Versionen 4 und 5.1 sowie viele Locky-Versionen diese Technik verwendeten, ebenso wie verschiedene Versionen von Cryptolocker und Cryptowall.

NSIS, kurz für ‚Nullsoft Scriptable Install System‘, ist ein Open-Source-System zur Erstellung von Installationsprogrammen für Windows.

Cerber verlangt, wie andere Ransomware auch, Bitcoin im Austausch gegen den Dechiffrierungsschlüssel, der es den Nutzern ermöglicht, die verschlüsselten Daten wiederherzustellen. Frühe Versionen dieses Schadprogramms wurde als Malware-as-a-Service verkauft, andere wiederum waren so programmiert, dass sie den Rechner des Opfers zum Sprechen brachten und ihn immer und immer wieder sagen ließen, dass Dokumente und Dateien verschlüsselt wurden.

Quelle: Threatpost