Metamorfo Banking-Trojaner missbraucht AutoHotKey, um Erkennung zu vermeiden

Cyber Security News

Eine legitime Binärdatei zum Erstellen von Tastenkombinationen in Windows wird in einer Reihe neuer Kampagnen dazu verwendet, Malware an den Verteidigungsmaßnahmen vorbei zu schleusen.

Der Banking-Trojaner Metamorfo missbraucht AutoHotKey (AHK) und den AHK-Compiler, um der Erkennung zu entgehen und Benutzerdaten zu stehlen, warnen Forscher.

AHK ist eine Skriptsprache für Windows, die ursprünglich entwickelt wurde, um Tastaturkürzel (d. h. Hotkeys) zu erstellen.

[Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

Laut dem Cofense Phishing Defense Center (PDC) zielt die Malware (auch bekannt als Mekotio) auf spanischsprachige Benutzer ab und verwendet zwei separate E-Mails als anfänglichen Infektionsvektor. Die eine ist eine angebliche Aufforderung, eine passwortgeschützte Datei herunterzuladen; die andere ist eine aufwendig gefälschte Benachrichtigung über anstehende juristische Dokumente mit einem Link, der eine ZIP-Datei herunterlädt.

Metamorfo missbraucht AHK

In beiden Fällen ist der bösartige Code in einer ZIP-Datei enthalten, die letztlich auf die Computer der Opfer heruntergeladen wird. Sie enthält drei Dateien: die legitime ausführbare Datei des AHK-Compilers (.EXE), ein bösartiges AHK-Skript (.AHK) und den Banking-Trojaner selbst (.DLL). Diese werden in eine zufällig benannte Datei entpackt, die sich in C:\ProgramData befindet.

Ein Skript führt dann den AHK-Compiler aus, der AHK-Compiler führt das AHK-Skript aus, und das AHK-Skript lädt schließlich Metamorfo in den Speicher des AHK-Compilers.

“[Metamorfo] arbeitet dann innerhalb des AHK-Compiler-Prozesses und verwendet die signierte Binärdatei als Fassade, um die Erkennung für Endpunktlösungen zu erschweren”, erklärten die Forscher in einem Posting am Donnerstag.

Für die Persistenz werden Kopien aller drei Dateien auch in einem neuen Ordner abgelegt.

“Bei jedem Neustart des Systems wird dann mit einem Ausführungsschlüssel die Ausführungskette gestartet, indem die umbenannte Kopie des AHK-Compilers ausgeführt wird”, heißt es in dem Bericht.

Wiederaufleben von Metamorfo in Lateinamerika und Europa

Metamorfo begann sein Leben als lateinamerikanischer Banking-Trojaner, der erstmals im April 2018 in verschiedenen Kampagnen entdeckt wurde, die wichtige Gemeinsamkeiten aufweisen (wie die Verwendung von “Spray-and-Pray”-Spam-Taktiken). Seine Kampagnen weisen jedoch kleine, “morphende” Unterschiede auf – was die Bedeutung hinter seinem Namen ist.

Eine Variante, die im Februar 2020 auftauchte, schaltet beispielsweise die Auto-Suggest-Dateneingabefelder in Browsern aus und zwingt die Opfer, ihre Passwörter aufzuschreiben – was dann über einen Keylogger verfolgt wird.

Dieser Trick findet sich laut PDC auch in den jüngsten Angriffen, bei denen es Cyberkriminelle auf Kunden von Banken in Lateinamerika und Europa (einschließlich Frankreich, Portugal und Spanien) abgesehen haben.

Metamorfo überwacht die Browseraktivität auf der Suche nach Zielbanken, die in Form von Zeichenketten im Prozessspeicher des AHK-Compilers aufgelistet werden, erklärten die Forscher. Wenn ein Opfer eine der Ziel-Banking-Seiten öffnet, überlagert Metamorfo sie mit einer gefälschten Version der Webseite, die darauf ausgelegt ist, Anmeldedaten zu sammeln.

“[Metamorfo] deaktiviert bestimmte Registry-Browserwerte, die mit Passwort- und Formularvorschlägen sowie der Autovervollständigung verbunden sind”, so die Forscher. “Dies zwingt den Benutzer zur Eingabe sensibler Informationen, selbst wenn diese in der Browser-Historie gespeichert sind, wodurch die Malware mit ihren Keylogging-Funktionen Anmeldedaten erfassen kann.

Diese Version des Trojaners kann auch Bitcoin-Adressen überwachen, die in eine Zwischenablage kopiert werden, und sie durch eine ersetzen, die den Angreifern gehört.

“Zu diesem Zeitpunkt hatte diese spezielle Angreifer-Adresse ein Guthaben von 0,01957271 BTC, etwa 800 Dollar”, so die Forscher.

Metamorfo’s Banking Trojan Infektion Routine

Das PDC stieß bei diesen Kampagnen auf zwei Hauptmechanismen zur Übermittlung der Nutzlast.

Im ersten Fall gibt es eine .ZIP-Datei, die eine MSI-Datei enthält, die eine bösartige Domäne enthält, die 32- und 64-Bit-Versionen einer zweiten .ZIP-Datei beherbergt; und im zweiten Szenario legt die ursprüngliche .ZIP-Datei eine Verknüpfungsdatei ab, die einen bösartigen Finger-Befehl enthält. Finger.exe ist ein nativer Windows-Befehl, der das Abrufen von Informationen über einen Remote-Benutzer ermöglicht.

“Die Tabelle Custom Actions dieser MSI-Dateien ermöglicht die Einbindung von benutzerdefiniertem Code in das Installationspaket und wird häufig von Angreifern missbraucht”, so die Forscher. “[The table] zeigt eine Aktion mit dem Namen ‘dqidwlCTIewiuap’, die verschleiertes JavaScript enthält. Das JavaScript ist dafür verantwortlich, die richtige Version der .ZIP-Datei von der Nutzlastseite herunterzuladen, ihren Inhalt zu entpacken, umzubenennen und in einem neuen, zufällig benannten Ordner abzulegen.”

Im zweiten Fall wird ein Befehl verwendet, um einen Server zu kontaktieren, der den Inhalt einer gehosteten Datei in einer Befehlsshell anzeigt. Bei der betreffenden Datei handelt es sich um ein PowerShell-Skript, das in dieser Shell ausgeführt wird.

“Das Skript führt ähnliche Aktionen aus wie das MSI: Es lädt eine ZIP-Datei herunter, benennt sie um, kopiert sie in einen neu angelegten Ordner und entpackt sie dort”, erklären die Forscher. “Das PDC sah auch, dass beide Taktiken in mindestens einem Fall kombiniert wurden, indem der bösartige Finger-Befehl direkt in die MSI Custom Actions-Tabelle integriert wurde.”

Benutzer können sich schützen, indem sie darauf achten, welche Dateien sie herunterladen, und indem sie ihre Rechner auf zufällige neue Dateiordner im Windows-Programmdatenverzeichnis überprüfen.

“Die wichtigste Erkenntnis ist, dass legitime Binärdateien als Fassade für bösartige Aktivitäten missbraucht werden können”, so das Fazit der Forscher. “Wachsamkeit ist der Schlüssel. Wenn eine Datei oder ein Prozess nicht dazu gedacht ist, dort zu sein, ist es am besten, dies zu überprüfen.”

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com