Eine als .jpg getarnte ausführbare Datei führt nicht nur zu Lösegeldern, sondern auch zu ihrem Builder, der zur Erstellung von Varianten verwendet werden kann.
Eine böswillige Spam-Kampagne, die die Opfer darüber informiert, dass sie ein "kritisches Windows-Update" enthält, führt stattdessen zur Installation von Cyborg-Lösungsmitteln, wie Forscher herausgefunden haben. Außerdem konnten sie auf den Builder zugreifen, mit dem Varianten von Malware erstellt werden können.
Die E-Mail-basierte Bedrohung, die kürzlich von Forschern von Trustwave entdeckt wurde, ist in mancher Hinsicht einzigartig, wie die Forscher in einem Blog-Post am Dienstag enthüllten. Beispielsweise gibt die angehängte Datei vor, im .jpg-Format zu sein, obwohl sie eine .exe-Datei öffnet.
Ein weiterer einzigartiger Aspekt ist, dass die E-Mails einen Betreff mit zwei Sätzen enthalten: "Install Latest Microsoft Windows Update now! Kritisches Microsoft Windows-Update" - aber es hat nur einen Satz im E-Mail-Text, so die Forscher. Typischerweise enthalten bösartige E-Mails eine längere, sozial angepasste Nachricht, die die Opfer dazu verleiten soll, auf bösartige Dateien zu klicken.
Aber das vielleicht wichtigste Element der Analyse ist, dass die Cyborg-Lösungsmittelhersteller auch eine Spur von der ausführbaren Datei hinterlassen haben, die die Forscher dazu brachte, den Malware-Builder zu entdecken, der auf der Github-Entwicklerplattform gehostet wird.
"Die 7Zip-Datei 'Cyborg Builder Ransomware V 1.0.7z' aus dem Cyborg-Builder-Ransomware-Repository wurde zwei Tage vor dem Github-Konto misterbtc2020 hochgeladen, das die ausführbare Cyborg-Lösungssoftware beherbergt", so der Beitrag. "Es enthält den Lösegeld-Builder 'Cyborg Builder Ransomware V 1.0.exe'".
Dies fügt dem Angriff eine neue Dimension hinzu, sagte Karl Sigler, Leiter der Bedrohungsanalyse bei Trustwave SpiderLabs, gegenüber Threatpost in einem E-Mail-Interview.
"Lösegeld wurde in großem Umfang für Angriffe auf verschiedene Organisationen und Regierungen eingesetzt, und es ist von großer Bedeutung, dass es und sein Hersteller auf einer Software-Entwicklungsplattform Github gehostet werden", sagte er uns. "Jeder kann es in die Finger bekommen und seine eigene Cyborg-Lösungsmittelprogrammdatei erstellen", sagte er.
Die gefälschte Windows-Update-E-Mail weist typische Merkmale von bösartigem Spam auf, so wie sie von den Forschern ursprünglich identifiziert wurde, sagte Sigler gegenüber Threatpost. Die verdächtige Betreffzeile in Kombination mit "einem ausführbaren Anhang, der nicht in einem Archiv eingeschlossen ist und eine .jpg-Erweiterung hat", mache die Absicht ziemlich offensichtlich, sagte er.
"Das Fälschen der Dateierweiterung einer ausführbaren Datei ist ein üblicher Trick, um E-Mail-Gateways zu umgehen", sagte Sigler gegenüber Threatpost. "Wir haben das schon einmal gesehen, und deshalb gibt es heuristische Erkennungen für diese Art von Verhalten.
Forscher informierten Github am Sonntag, 17. November, gegen 17:00 Uhr Zentraler Zeit, dass es ein Konto gibt, das die Cyborg-Lösungssoftware und ihren Erbauer auf seiner Plattform beherbergt, sagte Sigler. Dieser Bericht sei "noch in Bearbeitung", sagte er uns, und das Konto, das die Malware beherbergt, sei zum Zeitpunkt der Erstellung dieses Artikels noch aktiv.
Zu diesem Zeitpunkt schien die Cyborg-Spam-Bedrohung abgeklungen zu sein, da die Forscher keine Beweise mehr dafür sehen, dass der Downloader per E-Mail verschickt wurde. Es könnten jedoch noch Varianten des Cyborg-Builders erstellt werden, da dieser immer noch auf Github verfügbar ist, sagte Sigler und bemerkte, dass "eine Handvoll Cyborg-Lösegeld" bereits bei VirustTotal eingereicht worden sei.
"Die Cyborg-Ransomware kann von jedem erstellt und verbreitet werden, der den Builder in die Hände bekommt", so der Beitrag. "Es kann mit anderen Themen gesponsert und in verschiedenen Formen angehängt werden, um E-Mail-Gateways zu umgehen.
Die Lösegeldforderung ist insgesamt eine hartnäckige und wachsende Bedrohung, bei der schlechte Schauspieler neue und kreative Wege finden, um Opfer anzulocken und anzugreifen. In einer im vergangenen Monat veröffentlichten Studie heißt es, dass Sicherheitsexperten für das Jahr 2020 einen Anstieg der Lösegeldforderungen erwarten, insbesondere bei Kampagnen, die sich speziell an ihre Opfer richten.
Während der Cyborg-Angriff kein offensichtliches Ziel gehabt zu haben schien, sagte Sigler, es gebe in jüngster Zeit Anzeichen dafür, dass sich diese Vorhersage bereits bewahrheitet. Letzte Woche wurde SmarterASP.NET, ein populärer Webhosting-Provider, von einem gezielten Lösegeldangriff getroffen, der die Websites seiner Kunden, die von dem Unternehmen gehostet werden, zum Absturz brachte.
