Álcázott kártevővel támadnak online bankokat
Egy kártevő a kódját olyan okosan rejtették el a bűnözők, hogy a G Data elemzője első körben hibás fájlnak hitte. A mélységi elemzés azonban felfedte, hogy tulajdonképpen egy új álcázási módszerről van szó, melynek segítségéve batch és powershell parancsokat lehet elrejteni.
A G Data szakértői sikeresen azonosították és elemezték az első olyan, a világhálón szabadon terjedő kártevőt, mely egy új módszert használt rejtőzésre. A DOSfuscation nevű eljárást elsőként Daniel Bohannon, a FireEye kutatója írta le.
A downloader malware programozói az elhomályosítás vagy álcázás (obfuscation) technikát arra használják, hogy a kódot elrejtsék az automatizált elemzést végző szoftverek elől. Használatával továbbá megnehezítik a szakértők munkáját, akik nehezen fejtik vissza, értik meg a kód működését. Így sok idő és több munka kell ahhoz, hogy megtudják, mi a szándéka a kártevőnek. A kód álcázásakor egyes betűket felcserélnek, ahogy a kártevő kódjának egyes egyéni összetevőit is titkosíthatják.
A G Data szakértőjének, Sascha Curylónak sikerült az interneten már terjedő kártevő kódját megfejteni. A szakértő eddig nem találkozott hasonló obfuscation technikával. Elmondása szerint, amikor először megnézték a mintát, először azt hitték, hibásan bontották ki a fájlt, és csupán tüzetes átvizsgálása után találták meg a rejtett parancsokat.
Az első körben kinyert kód karakterek véletlenszerű gyűjteményének látszott. A Windows parancssor a legtöbb karaktert – helyköz, vessző és egyebek – nem értelmezi, figyelmen kívül hagyja, ezeket nyugodtan el lehet távolítani anélkül, hogy a végső eredmény megváltoznék. A tisztítás után kapott kifejezést már jobban lehetett olvasni. Például, a hosszú karakterláncban ismétlődő bizonyos minták azt sugallták, hogy az eredmény egy webcím, melyet a további utasításokért keresett fel a kártevő.
Az elemzett mintát egy ügyfél küldte a G Data szakértőihez, a Rechnung-Details-DBH[véletlenszerű szám].doc egy végrehajtható makrót tartalmaz, mely további álcázott kódot rejt. A Rechnung a német számla kifejezést takarja. Ez a makró megnyitja a Windows parancssort, majd elindul egy powershell letöltő, és egy másik, Emotet nevű letöltőt tölt le. A kártevőt eredetileg banki trójaihoz használták, de idővel moduláris letöltővé és adatlopóvá fejlesztették. A támadásban használt hasznos tartalom a Trickbot nevű kártevő, melyet az Emotet nevű downloader juttat a számítógépre, és tipikusan online bankok elleni támadásban használják.
