Wajam Internet Technologies ist ein im Dezember des Jahrs 2008 von Martin-Luc Archambault (berühmter Entrepreneur aus Quebec) gegründetes Start-up-Unternehmen aus Montreal in Kanada. Das bekannteste Produkt von Wajam ist eine Social Search Engine App. Damit kann man Inhalte von Freunden aus sozialen Netzwerken durchsuchen. Abbildung 1 zeigt ein Beispiel, wie Wajam nach der Installation in die Google-Suche integriert ist.

Abbildung 1: Einbettung der Wajam Suchergebnisse in einer Google-Suche

Jeder kann die Software kostenfrei auf seinem Rechner installieren. Umsatz generiert das Unternehmen, in dem kontextbezogene Werbeanzeigen in den Wajam-Suchergebnissen eingeblendet werden. Ursprünglich stand für die Computer-User bis zum Jahr 2014 eine Wajam-Browser-Erweiterung zur Verfügung. Heute wird die Software hauptsächlich mit Hilfe der Pay-per-Install-Abrechnungsmethode (PPI) distribuiert.

Das kanadische OPC (Office of the Privacy Commissioner) gab bekannt, dass Wajam zwischen 2011 und 2016 mehr als 50 verschiedene PPI-Anbieter verwendete. Bereits mehrere Male kritisierte man die Methode, da immer wieder gefälschte Adobe Flash Player oder Antiviren-Programme oder andere Software Installer auftauchten, um User zu täuschen und Ad- sowie Malware zu verbreiten.

Abbildung 2: Die Wajam-Webseite im April 2012

Geschichtliches und User-Beschwerden

Die Unternehmensgeschichte von Wajam ist laut OPC-Bericht eher kurios. In der Veröffentlichung aus dem Jahr 2017 heißt es:

• Das Unternehmen entfernte schrittweise und stillschweigend die Möglichkeit, die Software mit Facebook-, LinkedIn- und Google+-Konten zu verknüpfen. Damit beschnitten sie die eigentliche Hauptfunktion von Wajam.
• Im Jahr 2012 begannen immer mehr User, sich über die stark häufenden Werbeeinblendungen zu beschweren sowie über die De-Installationsroutine.
• Nach Angaben von D&B Hoovers generierte das Unternehmen im Jahr 2013 einen Netto-Gewinn von rund 4,2 Millionen US-Dollar.

Abbildung 3: User-Beschwerde #1

Abbildung 4: User-Beschwerde #2

Abbildung 5: User-Beschwerde #3

• Während der OPC-Untersuchungen wegen der Verletzung des PIPEDA (Personal Information Protection and Electronic Documents Act) aufgrund der Verwendung von persönlichen Daten, wurde das Unternehmen an eine neue Firma in Hongkong verkauft. Diese trägt den Namen Iron Mountain Technology Limited (IMTL).

Die Zeitleiste in Abbildung 6 fasst einige „Höhepunkte“ in der Unternehmensgeschichte zusammen.

Abbildung 6: Unternehmenshistorie von Wajam Internet Technologies Incorporated

Parallel dazu zeigen wir die zur Wajam-Software hinzugefügten Anti-Detection- und Anti-Analyse-Features im Zeitverlauf:

Abbildung 7: Zeitverlauf über die in Wajam implementierten Stealth-Features

Allgemeine Beobachtungen in verschiedenen Wajam-Versionen

Im Verlauf der vergangenen Jahre erschienen zahlreiche Wajam-Versionen. Seitdem die Entwickler sich für eine Versionierung entschieden, ist es einfacher, gesammelte Samples zu klassifizieren. Die nachstehende Tabelle fasst die von uns identifizierten Samples zusammen. Die Datierungen sind nur ungefähre Zeiträume, in denen die Versionen von uns beobachtet wurden. Manche könnten auch schon früher verbreitet worden sein.

Traffic injection

Jede Wajam-Version schleust dieselbe Payload in den Web-Traffic des Users ein. Ein Unterschied besteht also nur in der Technik des Zwischenschaltens und der Injection-Methode. Insgesamt gleicht die Herangehensweise im Laufe der Zeit immer mehr der von Malware-Entwicklern.

Ist Wajam erst einmal auf dem PC installiert, beginnt die Software sich in den Web-Traffic einzuklinken. Das Programm verhält sich wie folgt:

• Download einer Liste von unterstützten Webseiten (Abbildung 8) von einem Remote Server
• Die Liste ordnet jedem Domain Name einen Pfad zur einzufügenden JavaScript-Datei zu. Dazu kommen einige Webseiten-spezifische Einstellungen

Abbildung 8: Ausschnitt aus der Liste von unterstützten Websites

• Wenn eine vom Benutzer angeforderte URL mit einem der Muster übereinstimmt, wird die entsprechende JavaScript-Datei eingeschleust (siehe Abbildung 9). Das Skript fügt kontextbezogene Werbung ein und zeigt, wenn es sich bei der Webseite um eine Suchmaschine handelt, auch Tweets an, in denen die vom User gesuchten Schlüsselwörter vorkommen.

Abbildung 9: Auszug aus dem Injection-Script

• Anschließend wird die Liste vom Wajam Remote Server aktualisiert.

Durchsickern von personenbezogenen Daten

Wajam sammelt immer mehr Informationen über die Anwender:

• Einige IDs dienen der Identifizierung bestimmter User (siehe Abbildung 9).
• An die Wajam-Server werden während der Installation einige Log-Files geschickt, um sicherzugehen, dass alles problemlos verläuft (siehe Wireshark-Screenshot in Abbildung 10).
• Selbst spezifische Informationen, wie über das Setup des Benutzers (Liste über installierte Software oder PC-Modell) gelangen an die Wajam-Server.

Abbildung 10: HTTP-Anfragen, die Wajam während des Installationsvorgangs stellte

Verbreitungsmechanismus von Wajam

Mit Ausnahme der Browser-Erweiterung wurden alle Versionen von Pay-Per-Install-Anbietern als NSIS-Installer verteilt. Die PDB-Pfade zeigen, wie die Entwickler ihre Software im Laufe der Jahre schrittweise immer stärker verschleierten. Man sieht, dass die späteren Versionen meistens viel längere PDB-Pfade aufweisen, bestehend aus ausschließlich zufälligen Zeichen.

Priam: Die Browser-Erweiterung

Zwischen den Jahren 2011 und 2013 fand Wajam auch als Browser-Erweiterung einen gewissen Grad der Verbreitung. In der Manifest-File steht geschrieben, welche Webseiten zu „infizieren“ sind und wie der JavaScript-Code beim Webseiten-Besuch darin eingebettet werden soll. Wie man der Abbildung 11 entnehmen kann, wird das Skript in allen besuchten Webseiten implementiert, insofern möglich.

Abbildung 11: Auszug aus der Konfiguration der manifest.json Datei

Eine ältere Version der Browser-Erweiterung enthält in einer korrespondieren DLL Überreste eines Screenshot-Plugins (Abbildung 12). Die dynamische Programmbibliothek greift auf die Netscape Plugin API (Chrome und Windows) bzw. auf ein Browser Helper Object (Internet Explorer) zurück.

Abbildung 12: Auszug aus einem Assembly Code eines Plugins der Wajam Browser-Erweiterung.

In allen Versionen ist ein JavaScript-Code dafür verantwortlich, dass die Browser-Lesezeichen an die Wajam-Server gesendet werden. Egal ob Screenshots oder Lesezeichen, beides kann sehr persönliche Informationen enthalten. Sehr fragwürdig ist, was Wajam wohl mit den Informationen anstellte. Die aktuelle Version verfügt nicht mehr über dieses Datensammel-Feature.

Als die Wajam-Software von verschiedenen Sicherheitsprodukten als Adware eingestuft wurde, versuchten die Entwickler dieses rückgängig zu machen, indem sie sich direkt an die Antivirenprogramm-Hersteller wendeten (Abbildungen 13 und 14).

Abbildung 13: Versuch von Wajam, eine McAfee-Erkennung zu entfernen

Abbildung 14: Ein weiterer Versuch, Adware-Erkennung zu entfliehen

WJProxy

Im Jahr 2014 änderte sich die Strategie der Wajam-Akteure. Die Software war nicht länger als Browser-Erweiterung verfügbar; die Download-Links wurden entfernt. Eine neue Windows-Version mit integriertem Fiddler Web Proxy vertrieben wiederum PPI-Provider.

Unter den neuen Funktionen stachen drei besonders hervor:

• Mit Hilfe von SeDebugPrivilege startet man die ausführbare Hauptdatei mit Administrator-Zugriffsrechten.
• Das überarbeitete Programm generiert ein Zertifikat und fügt es der Stammzertifikatsliste unter Windows hinzu, um den SSL/TLS-Verkehr abzufangen. Dadurch werden Sicherheitswarnungen beim Einfügen von JavaScript-Code in Webseiten umgangen.
• Ein Proxy wird eingerichtet, der den gesamten Web Traffic, die Einstellungen der installierten Web-Browser abfängt sowie die Windows-Registry so manipuliert, dass stets der Proxy zum Einsatz kommt.

Wajam und Warhammer-Fantasy

Zur selben Zeit, zu der man WJProxy beobachtete, tauchte eine andere DLL-Version mit Injection-Fähigkeit auf. Anstelle eines Proxys eines Drittanbieters zu verwenden, wird eine DLL in den Web-Browser eingefügt, um den nicht verschlüsselten Traffic manipulieren zu können. Abbildung 15 zeigt die funktionelle Architektur der Version.

Abbildung 15: Architektur von Warhammer Wajam

Interessanterweise benutzt diese Version Verschleierungstechniken wie Zeichenketten-Verschlüsselung (Abbildungen 16 und 17).

Abbildung 16: Entschlüsselung des NtLoadDriver-Strings (Hex-Rays-Ausgabe)

Abbildung 17: String-Entschlüsselungsroutine (Hex-Rays-Ausgabe)

Auch die Dateien mit der Liste der unterstützten Webseiten und die Adressen der zu verbindenden Funktionen (siehe Abbildung 18) sind beide verschlüsselt (AES-256 CFB). Die Namen der Dateien, wie waaaghs und snotlings deuten einen Bezug zum Warhammer-Universum an. Darüber hinaus geben auch andere Namen (wajam_goblin.dll) einen Anlass, anzunehmen, dass die Wajam-Entwickler an Fantasy-Spielen oder Fiction interessiert zu sein scheinen.

Abbildung 18: Datei, welche die Hooks der Webbrowser- Funktionen enthält

Der DLL-Injection-Prozess kann, in Abhängigkeit von den für den „Injector“ angegebenen Parameter, auf unterschiedliche Weise erreicht werden.

Wurde die Programmbibliothek hinzugefügt, überprüft der „Injector“, ob es sich beim anvisierten Prozess um einen Web-Browser handelt. Wenn diese Bedingung erfüllt ist, dienen MinHook und die entschlüsselte snotlings-Datei dazu, die (den unverschlüsselten Web-Traffic) manipulierenden Funktionen einzuschleusen.

Da die oben beschriebenen Methoden normalerweise von Malware verwendet wird, implementierte Wajam einige Tarn-Techniken, um sich vor Antivirenprogrammen zu schützen.

• Die Wajam-Software prüfte die Windows Registry auf vorhandene Schlüssel von Antivirenprogrammen (dazu siehe Abbildung 9) und sendete jeden gefundenen an Wajam-Server.

Abbildung 19: Wajam sucht nach Windows Registry Keys von Antivirenprogrammen

• Je nach Sample änderte sich der Name der Executable geringfügig, wie beispielsweise: WajWEnhance.exe, WaWEn.exe, WebEnhancer.exe, etc.
• Gegen Ende des Jahres 2015 enthielt Wajam einen minifilter-Treiber, um die Dateien der Software auf der Festplatte vor allen Prozessen zu verstecken, außer vor denen auf der Whitelist.

Abbildung 20: Whitelist der Prozesse, vor denen sich Wajam nicht versteckt

• Die Software erhielt regelmäßig Patches von den Wajam-Servern (RC4- oder XOR-verschlüsselt)

Chrome und Firefox blockieren seit Kurzem sogenannte Code-Injections von Drittanbietern, sodass diese Version von Wajam nicht mehr funktioniert. Voraussetzung ist natürlich die Verwendung der aktuellen Browser der Unternehmen.

Wajam dringt tief bis zum Kernel vor

Mit Blick auf neue Sicherheitsmechanismen wurde in der Mitte des Jahres 2016 eine weitere Wajam-Version veröffentlicht. Die Software wartete fortan mit zusätzlichen Features auf, wie einem NetFilter-Treiber, um Traffic direkt im Kernelspace abzufangen und einzuschleusen.

Abbildung 21: Architektur der Wajam NetFilter-Version

Eine der vielen weiteren Änderungen bei der 2016er-Version ist der Schutz vor der Erkennung durch Antivirenprogramme:

• Die Wajam-Software verwendet starke Code- und Datenverschleierung (Abbildungen 22 und 23). Einige Tarn-Techniken ähneln dem „Stunnix C/C++ Obfuscator“.

Abbildung 22: Dekodierung eines Windows-API-Namens (Hex-Rays-Output)

Abbildung 23: String-Dekodierungsroutine (Hex-Rays-Output)

• Hinzufügen von Ausnahmen zum Windows Defender (in der Kommandozeile: -command Add-MpPreference -ExclusionPath)
• Windows Registry Einträge DontReportInfectionInformation und DontOfferThroughWUAU werden angelegt. Diese verhindern das Reporting einer Kompromittierung an Microsoft und MSRT (Malicious Software Removal Tool)
• Die Executables sind mit Hilfe von Zertifikaten signiert, deren Domain Names dem Wajam-Unternehmen zuzuordnen sind und sich regelmäßig ändern (siehe Abbildungen 24 und 25)

Abbildung 24: Digitales Zertifikat einer ausführbaren Wajam-Datei auf VirusTotal

Abbildung 25: Digitales Zertifikat einer anderen ausführbaren Wajam-Datei auf VirusTotal

Diese Domain Names sind Marken von Wajam gemäß dem Quebec Enterprise Register (siehe Abbildung 26). Einige der Domain Names (weitere Beispiele im Abschnitt IoCs) gleichen Straßennamen in Montreal (wie beispielsweise „Adrien Provencher“, „Bernard“, „Mont-Royal“ usw.).

Abbildung 26: Quebec Enterprise Register mit einigen Wajam-Domain Names

SearchPage: Wajam und Apple

Im Jahr 2017 tauchte eine neue von Wajam entwickelte Adware namens SearchPage auf, die auf MacOS-Systeme abzielt. Analysen zeigten, dass hier auf dieselben Domain Names zurückgegriffen wurden wie auch in der damals aktuellsten Windows-Version (Abbildung 24).

Abbildung 27: Ausschnitt aus der Info.plist mit dem von Wajam registrierten Domain Name

SearchPage wurde als macOS-Anwendungspaket mit dem Namen spiinstall.app verbreitet. Es installierte ein Safari-Plugin und ein Zertifikat in der Keychain (Wurzelzertifikate-Platzhalter unter macOS). Dieses Plugin schleust Traffic auf ähnliche Weise wie unter Windows ein.

Die spätere 2018er-Version verwendet zum Abfangen des Web-Traffics anstatt einer Safari-Erweiterung mitmproxy (in Python geschriebener Web Proxy). Abbildung 28 zeigt die Funktionsweise des Proxys sowie die hartcodierte durch Wajam registrierte URL.

Abbildung 28: Verwendung von mitmproxy zum Einschleusen von JavaScript

Diese Malware wurde bereits durch MalwareBytes dokumentiert. Weitere Informationen dazu findet man unter: https://blog.malwarebytes.com/threat-analysis/2018/10/mac-malware-intercepts-encrypted-web-traffic-for-ad-injection/.

Fazit und Takeaways

Dieser Research beweist, dass Wajam trotz Eigentümerwechsel immer noch aktiv ist. Mittlerweile agiert das Hongkonger Unternehmen unter den Namen SearchAwesome, Social2Search, SearchPage etc. Verbreitet wird die Adware auch mit Hilfe sogenannter PPIs.

Der Fall „Wajam“ erinnert uns an die Grauzone, in der sich Adware und PUAs (Potenziell Unerwünschte Anwendungen) bewegen. Selbst wenn Techniken der Verschleierung zum Einsatz kommen, um sich vor Antivirenprogrammen zu verstecken, Werbe-Einblendungen nerven glücklicherweise mehr, als dass sie ernsthafte Schäden beim Computer-User verursachen. Trotzdem sollte man die Hartnäckigkeit, mit der einige Adware auf dem PC verbleibt, nicht unterschätzen.

Indicators of Compromise (IoCs)

Hashes

IP addresses ranges

Domain names (partial list)

adrienprovenchertechnology[.]com
armandlamoureuxtechnology[.]com
bernardtechnology[.]com
carmenbienvenuetechnology[.]com
cartiertechnology[.]com
chabaneltechnology[.]com
chaumonttechnology[.]com
colonialetechnology[.]com
cormacktechnology[.]com
customsearches[.]net
despinstechnology[.]com
hutchisontechnology[.]com
imt-dashboard[.]tech
jeanlesagetechnology[.]com
kingwintechnology[.]com
laubeyrietechnology[.]com
lauriertechnology[.]com
mansactechnology[.]com
mounactechnology[.]com
notification-results[.]com
notifications-page[.]com
notifications-service[.]info
notifications-service[.]io
papineautechnology[.]com
premiumsearchhub[.]com
premiumsearchresults[.]com
premiumsearchtech[.]com
preverttechnology[.]com
search-awesome[.]net
search-ology[.]com
search-technology[.]net
searchawesome-apps[.]com
searchawesome[.]net
searchawesome2[.]com
searchawesome3[.]com
searchesandfind[.]com
searchfeedtech[.]com
searchforall[.]net
searchforfree[.]net
searchnewsroom[.]com
searchnotifications[.]com
searchpage-results[.]com
searchpage-results[.]net
searchpage[.]com
searchpageresults[.]com
searchsymphony[.]com
searchtech[.]net
securesearch[.]xyz
seekoutresultz[.]com
sirwilfridlauriertechnology[.]com
social2search[.]com
tazotechnology[.]com
technologieadrienprovencher[.]com
technologieairflow[.]com
technologiearmandlamoureux[.]com
technologiebeaumont[.]com
technologiebernard[.]com
technologiecarmenbienvenue[.]com
technologiecartier[.]com
technologiechabanel[.]com
technologiechaumont[.]com
technologiecoloniale[.]com
technologiecormack[.]com
technologiedollard[.]com
technologieduluth[.]com
technologiehutchison[.]com
technologiejeanlesage[.]com
technologiekingwin[.]com
technologielaubeyrie[.]com
technologielaurier[.]com
technologiemansac[.]com
technologiemontroyal[.]com
technologiemounac[.]com
technologieoutremont[.]com
technologieprevert[.]com
technologierachel[.]com
technologieruso[.]com
technologiesaintdenis[.]com
technologiesaintdominique[.]com
technologiesaintjoseph[.]com
technologiesaintlaurent[.]com
technologiesainturbain[.]com
technologiesearchawesome[.]com
technologiesirwilfridlaurier[.]com
technologiestdenis[.]com
technologiestlaurent[.]com
technologiestuart[.]com
technologietazo[.]com
technologietravassac[.]com
technologietrudeau[.]com
technologievanhorne[.]com
technologiewiseman[.]com
technologieyvonlheureux[.]com
travassactechnology[.]com
trudeautechnology[.]com
wajam-download[.]com
yvonlheureuxtechnology[.]com

MITRE ATT&CK techniques