Amavaldo: Neue Banking-Trojaner enttarnt

Gegen Ende des Jahres 2017 beschlossen Forschende des ESET Malware-Labors in Prag, sich eingehender mit berüchtigten Banking-Trojanern zu beschäftigen. Es geht dabei um diejenigen, die vorrangig auf Brasilien abzielen und in der Delphi-Programmiersprache geschrieben sind.

Die Banking-Trojaner richten sich ebenso gegen andere Länder Lateinamerikas. Deshalb rückten im Verlauf der Malware-Analyse auch Mexiko und Chile stärker in den Fokus der ESET-Forscher. Ihr Hauptziel bestand in der Klassifizierung der Banken-Trojaner und darin, mehr über das Verhalten der Schadsoftware zu erfahren.

Insgesamt haben wir aus den gewonnenen Informationen viel Neues lernen können. Es wurden mehr als zehn neue Malware-Familien entdeckt. Man konnte deren Verbreitungsmechanismus aufdecken und zeigen, wie sie mit anderen Malware-Varianten verknüpft sind. Außerdem konnten innere Verhaltensweisen der Banking-Trojaner dargestellt werden.

Dieser Beitrag beginnt zunächst damit, die auf Lateinamerika abzielenden Banking-Trojaner im Allgemeinen zu beschreiben, und setzt sich dann fort mit der Vorstellung von Amavaldo – der neu entdeckten Malware-Familie.

Was zeichnet die auf Lateinamerika gerichteten Banking-Trojaner aus?

An dieser Stelle möchten wir noch einmal kurz zusammenfassen, welche Charakteristiken diesen Typ Banken-Trojaner auszeichnet:

• Geschrieben in der Delphi-Programmiersprache
• Enthält eine Backdoor-Funktionalität
• Umfassende Verbreitungswege
• Funktionen sind unter Umständen auf mehrere Malware-Module aufgeteilt
• Normalerweise legitime und bekannte Software wird als Tarnung missbraucht
• Im Visier sind Spanisch und Portugiesisch sprechende Länder

Während der Forschungen sind wir auf Gemeinsamkeiten gestoßen. Die meisten von uns analysierten Banking-Trojaner stellen eine Verbindung zu einem C&C-Server her und warten auf vom Server gesendete Befehle. Nach dem Erhalt eines Befehls wird dieser ausgeführt und auf den nächsten gewartet. Die Kommandos werden wahrscheinlich manuell vom Cyber-Angreifer übermittelt.

Die C&C-Server-Adresse ist das am meisten gehütete Geheimnis der Malware-Entwickler. Wir haben mehrere unterschiedliche Ansätze entdeckt, diese zu tarnen und zu verstecken.

Daneben gibt es für jedes Malware-Opfer eine einzigartige URL, die den Cyber-Angreifern bei der Identifizierung hilft.

Banking-Trojaner aus Lateinamerika nutzen wenig bekannte Verschlüsselungsalgorithmen. Unterschiedliche Malware-Familien verwenden allerdings dieselben. Wir fanden ein Buch und eine Delphi Freeware Library, wovon die Malware-Entwickler möglicherweise inspiriert waren.

Die in Delphi geschriebene Malware induziert, dass die Executable-Dateien mindestens einige Megabyte groß sind. Das ist deshalb der Fall, da der Delphi Core in jeder Binary verankert ist. Zusätzlich bringen die lateinamerikanischen Banking-Trojaner oft eine Vielzahl an weiteren Ressourcen mit sich, wodurch die Dateigröße weiter steigt.
Wir sahen Samples mit mehreren Hundert Megabyte Speichergröße. In diesen Fällen setzen die Malware-Entwickler die Dateigröße allerdings künstlich herauf, um der Erkennung durch Anti-Virenprogrammen auszuweichen.

Neue Malware-Familien entdecken

Die Analyse einer Executable zeigt normale schnell, ob es sich um einen böswilligen Banking-Trojaner handelt. Die Malware-Entwickler neigen dazu, ihre Schadprogramme ganz oder teilweise von einander zu kopieren. Deshalb ähneln sich die Banken-Trojaner aus Lateinamerika alle ein bisschen. Das ist auch der Grund, warum meistens nur typische Malware-Erkennungen stattfinden.

Unsere Forschung zu den Banken-Trojanern begann zunächst mit der Untersuchung ausgeprägter Merkmale. Über die Zeit entdeckten wir auf diese Weise über zehn neue Malware-Familien. Neben anderen Code-Ähnlichkeiten überprüften wir beispielsweise, welche Zeichenfolgen gespeichert und wie die C&C-Server-Adresse erhalten wurden.

Entlang der Kette der Verbreitung von Amavaldo

Die einfachste Verbreitung des Banking-Trojaners erfolgt über einen einzigen Downloader (Windows Executable). Dieser tarnt sich als legitimer Software-Installer. Die Methode ist simpel, dennoch eher selten anzutreffen.

Viel häufiger besteht die Verteilung der Malware aus mehreren Stufen. Dabei kommen mehrere Downloader zum Einsatz, die in JavaScript, PowerShell und Visual Basic Script (VBS) geschrieben sind. Mindestens drei Stufen enthält der typische Verbreitungsmechanismus. Die finale Payload wird meist als ZIP-Archiv ausgebracht. Darin enthalten ist der Banken-Trojaner allein oder dieser und zusätzliche Komponenten. Für Malware-Entwickler hat diese Verbreitung den Vorteil, dass es für Malware-Researcher sehr schwierig ist, die am Ende der Kette stehende Payload (bspw. Banken-Trojaner) zu analysieren. Allerdings haben es Anti-Virenprogramme deutlich einfacher die Bedrohung aufzuhalten, da nur ein Kettenglied des Verbreitungsmechanismus gestoppt werden muss.

Diebstahl-Strategie der Banking-Trojaner

Im Gegensatz zu den meisten Banken-Trojaner vertrauen die auf Lateinamerika abzielenden nicht auf Web-Injections, sondern auf eine Form von Social Engineering. Kontinuierlich wird der Desktop des Opfers nach aktiven Fenstern geprüft. Sobald ein Desktop-Fenster in Verbindung mit Banking steht, startet der Cyber-Angriff.

Der Zweck des Angriffs besteht fast immer darin, den User davon zu überzeugen, dass besondere, dringende und notwendige Maßnahmen erforderlich durchzuführen sind. Das kann ein Update der Banking-App sein, die Verifizierung der Kreditkarten-Daten oder Online-Konten-Zugangsdaten. Das Opfer soll die Informationen in ein Popup eingeben (wie beispielsweise in Abb. 1) oder eine Bildschirm-Tastatur dient als Keylogger (Abb. 2). Gleich nach der Eingabe landen die vertraulichen Informationen bei den Angreifern.

Abbildung 1: Fake-Popup stiehlt sensible Daten. (Übersetzung: Anti Intrusion Tool. Ihre Sicherheit hat oberste Priorität. Bitte geben Sie Ihre Signatur ein)

Abbildung 2: Virtuelle Tastatur fungiert als Keylogger. (Übersetzung: Card Passwort: Geben Sie Ihr Kartenkennwort ein, indem Sie auf die nebenstehenden Schaltflächen klicken)

Amavaldo

Wir nannten die Malware-Familie, die im Rest dieses Blog-Beitrags beschrieben wird, Amavaldo. Diese Art befindet sich noch in der aktiven Entwicklung - die von uns neuste beobachtete Version ist 10.7 und trägt den Kompilierungszeitstempel vom 10. Juni 2019.

Das ist ein Beispiel für die modulare Malware, deren endgültiges Payload-ZIP-Archiv drei Komponenten enthält:

• Eine Kopie einer legitimen Anwendung (EXE)
• Ein Injektor (DLL)
• Ein verschlüsselter Banking-Trojaner (zu DLL entschlüsselt)

Abbildung 3 zeigt den Inhalt eines Sample-ZIP-Archivs der Amavaldo-Payload:

Abbildung 3: Amavaldo-Komponenten entpackt. (Die Komponenten sind: ctfmon.exe (legitime Anwendung), MsCtfMonitor (verschlüsselter Banking-Trojaner), MsCtfMonitor.dll (Injektor).)

Der Downloader speichert den gesamten ZIP-Archiv-Inhalt auf der Festplatte im selben Ordner. Der Name des Injektors (MsCtfMonitor.dll) wurde so gewählt, dass er mit dem einer DLL übereinstimmt, die von der mitgelieferten, legitimen Anwendung verwendet wird. Vor dem Beenden des Downloaders, führt dieser das legitime Programm aus. Es folgt:

• Ausführen des Injektors via DLL Side-Loading
• Der Injektor integriert sich selbst in exe oder iexplore.exe
• Der Injektor sucht nach dem verschlüsselten Banking-Trojaner (MsCtfMonitor)
• Wenn MsCtfMonitor gefunden, dann Entschlüsselung durch Injektor und Ausführung des Banking-Trojaners

Charakteristiken der Amavaldo-Malware

Neben dem modularen Aufbau zeichnet die Schadsoftware vor allem die benutzerdefinierte Verschlüsselungsmethode für die Zeichenketten-Verschleierung aus (Abb. 4). Man erkennt den Schlüssel (grün) und die verschlüsselten Daten (blau) sowie die rot gekennzeichneten Strings, die nichts weiter als Datenmüll sind. In Abb. 5 ist vereinfachter Pseudocode dargestellt, um die Logik des Algorithmus hervorzuheben. Die String-Handling-Routine wird vom Banking-Trojaner selbst, dem Injektor und sogar vom Downloader verwendet. Im Gegensatz zu vielen anderen auf Lateinamerika abzielenden Bank-Trojanern scheint diese Routine nicht von dem zuvor erwähnten Buch weiter oben inspiriert zu sein.

Abbildung 4: Zeichenketten-Verschleierung in Amavaldo

Abbildung 5: Amavaldo-String-Entschlüsselungspseudocode. Dieser Algorithmus scheint nicht von dem zuvor erwähnten Buch inspiriert zu sein.

Darüber hinaus können die neuesten Versionen der Familie via Mutex identifiziert werden, der den offenbar konstanten Namen {D7F8FEDF-D9A0-4335-A619-D3BB3EEAEDDB} trägt.

Amavaldo sammelt zunächst einmal Informationen über das kompromittierte Opfer:

• Computer- und Betriebssystemidentifikation
• Welche Art von Online-Banking-Sicherheitsschutz das Opfer installiert hat. Die Informationen stammen aus den folgenden Dateisystempfaden:
  • %ProgramFiles%\Diebold\Warsaw
  • %ProgramFiles%\GbPlugin\
  • %ProgramFiles%\scpbrad\
  • %ProgramFiles%\Trusteer
  • %ProgramFiles%\AppBrad\
  • %LocalAppData%\Aplicativo Itau

Die neueren Versionen kommunizieren über SecureBridge, eine Delphi-Bibliothek, die SSH / SSL-Verbindungen herstellt.

Wie bei vielen anderen derartigen Banking-Trojanern unterstützt Amavaldo mehrere Backdoor-Befehle. Der Funktionsbereich umfasst:

• Screenshots aufnehmen
• Fotos der Webcam
• Keylogging
• Weitere Programme herunterladen und ausführen
• Einschränkung des Zugriffs auf verschiedene Banking-Webseiten
• Maus- und Tastatursimulation
• Updates durch eigene Initiierung

Amavaldo verwendet eine clevere Technik, die der Windows-Benutzerkontensteuerung ähnelt. Nach dem Erkennen eines Desktop-Fensters mit Online-Banking-Bezug wird ein Screenshot des Desktops erstellt und setzt diesen als neues Hintergrundbild. Anschließend wird ein Fake Popup-Fenster eingeblendet, das auf dem Text des aktiven Fensters basierend ausgewählt wird. Gleichzeitig deaktiviert die Malware mehrere Hotkeys und das Opfer wird daran gehindert, mit etwas anderem als dem Popup-Fenster zu interagieren.

Als wir zum ersten Mal auf diese Malware stießen, waren nur brasilianische Banken betroffen. Aber seit April 2019 hat man es auch auf Kunden von mexikanischen Banken abgesehen. Zwar sind die brasilianischen Banken nach wie vor unter den Zielen zu finden, allerdings visierten die Malware-Entwickler nun vermehrt Mexiko an.

Verbreitungsmethode von Amavaldo

Wir entdeckten zwei Verbreitungsmechanismen – einen am Anfang dieses Jahres und den anderen im April.

Verbreitungsmechanismus 1 – Ziel: Brasilien

Die Verteilung von Amavaldo in Brasilien enttarnten wir das erste Mal im Januar 2019. Die Malware-Entwickler entschieden sich damals, die Banking-Trojaner mithilfe eines MSI-Installationsprogramms, VBS, XSL und PowerShell zu verbreiten.

Alles beginnt damit, dass das MSI-Installationsprogramm den Adobe Acrobat Reader DC auf dem PC des Opfers installieren möchte. Dazu werden zwei legitime Programmdateien verwendet: AICustAct.dll (zum Prüfen, ob Verbindung zum Internet besteht) und VmDetect.exe (zum Aufspüren von Virtuellen Maschinen).

Abbildung 6: Fehlermeldungen: links, wenn Virtuelle Maschine aufgespürt - rechts, wenn keine Internetverbindung besteht.

Nachdem der Installer ausgeführt wurde, greift er auf eine eingebettete Datei zu, die neben Strings auch einen gepackten VBS Downloader beinhaltet (Abb. 7). Nach dem Entpacken (Abb. 8) wird ein weiterer VBS Downloader aus dem Internet heruntergeladen (Abb. 9). Dieser macht sich Microsofts Windows WMIC.exe zunutze, um im nächsten Schritt ein XSL Script zu laden. Dieses enthält ein verschlüsseltes PowerShell Script (Abb. 9). Im letzten Schritt ist das PowerShell Script dafür zuständig, dass die eigentliche Payload bezogen wird (Abb. 11). Dabei handelt es sich um ein ZIP-Archiv, bestehend aus mehreren Files – abgebildet in Tabelle 1. In dieser Stufe sichert sich der Banking-Trojaner zudem Persistenz auf dem PC des Opfers, in dem eine Task namens GoogleBol geplant wird.

Abbildung 7: Erste Stufe: in einem MSI-Installer gepackter VBS Downloader (rot eingerahmt).

Abbildung 8: Ergebnis nach der ersten Stufe.

Abbildung 9: Ergebnis nach der zweiten Stufe. WMIC.exe wird zur Vorbereitung der nächsten Stufe missbraucht.

Abbildung 10: Ergebnis der dritten Stufe: Ein großes XSL Script, das wiederum ein PowerShell Script enthält.

Abbildung 11: Vierte und letzte Stufe: Verschleiertes PowerShell Script lädt die eigentliche Payload herunter und führt diese aus.

Tabelle 1: Inhalt der Payload-ZIP mit Beschreibung

Es gibt jeweils zwei Payloads und Injectors. Beide werden auf dieselbe Art ausgeführt, wie zuvor beschrieben. Die NvSmartMax.dll führt Amavaldo aus. Die libcurl.dll steht in keinem unmittelbaren Zusammenhang mit Amavaldo, da diese ein Tool ausführt, das zum automatischen Registrieren einer großen Anzahl neuer E-Mail-Konten mithilfe der E-Mail-Plattform Brasil Online (BOL) verwendet wird. Die daraus hervorgehenden E-Mail Login-Informationen werden den Cyber-Angreifern zugesendet. Wir befürchten, dass diese in einer späteren Spam-Kampagne zum Einsatz kommen.

Verbreitungsmechanismus 2 – Ziel: Mexiko

Die von uns zuletzt beobachtete Verteilungsmethode leitet ein ähnlicher MSI-Installer ein. Der Unterschied liegt dieses Mal allerdings in der eingebetteten Windows Executable Datei, welche den Downloader bereitstellt. Die Installation schließt mit einer Fehlermeldung (Abb. 12), kurz nach der Ausführung des Downloaders. Die Persistenz wird wie im ersten Beispiel erreicht. Dieses Mal lautet die geplante Task lediglich Adobe Acrobat TaskB (Abb. 13) und nicht GoogleBol. Abschließend werden alle Amavaldo-Komponenten heruntergeladen (ohne E-Mail-Tool) und der Banking-Trojaner gestartet.

Abbildung 12: Die vom Installer eingeblendete Fake Fehlermeldung.

Abbildung 13: Die vom Downloader erstellte geplante Task.

Wir gehen davon aus, dass Unternehmen durch Spam-Kampagnen diesem Verbreitungsmechanismus zum Opfer fallen. Mitarbeiter bekommen E-Mails mit Anhängen namens CurriculumVitae[…].msi oder FotosPost[…].msi. Die potenziellen Opfer sollen auf die Masche hereinfallen und glauben, jemand hätte wirklich seinen Lebenslauf per E-Mail geschickt. Und da es sich auf den ersten Blick um PDFs handelt, ist die nachgelagerte Installation des Adobe Acrobat Reader DC auch zunächst einmal nichts Ungewöhnliches.

Die Malware-Entwickler entschieden sich für den Gebrauch des URL-Shortener Services bit.ly. Das gibt uns zusätzliche Informationen über die Malware-Kampagne (Abb. 14 & Abb. 15). Wir erkennen, dass die überwiegende Mehrheit der Betroffenen aus Mexiko stammt und die meisten Klicks von E-Mails aus getätigt wurden.

Abbildung 14: bit.ly-Statistiken zur kürzlich stattgefundenen Amavaldo-Kampagne gegen Mexiko (1)

Abbildung 15: bit.ly-Statistiken zur kürzlich stattgefundenen Amavaldo-Kampagne gegen Mexiko (2)

Fazit

In diesem Beitrag haben wir unsere Analysen zu den neuen Banking-Trojaner in Lateinamerika vorgestellt. Wir beschrieben typische Charakterzüge der Banking-Malware und erläuterten einige Funktionsweisen.

Bei Fragen zu Amavaldo oder zur Einreichung von Malware-Samples steht die folgende E-Mail-Adresse zur Verfügung: threatintel@eset.com. Die IoCs finden Sie auch auf GitHub.

Indicators of Compromise (IoCs)

Hashes

First distribution chain (Brazil) hashes

Second distribution chain (Mexico) hashes

Other

Mutex

• {D7F8FEDF-D9A0-4335-A619-D3BB3EEAEDDB}

Filenames

• %LocalAppData%\%RAND%\NvSmartMax[.dll]
• %LocalAppData%\%RAND%\MsCtfMonitor[.dll]
• %LocalAppData%\%RAND%\libcurl[.dll]

Scheduled task

• GoogleBol
• Adobe Acrobat TaskB

C&C servers

• clausdomain.homeunix[.]com:3928
• balacimed.mine[.]nu:3579
• fbclinica.game-server[.]cc:3351
• newcharlesxl.scrapping[.]cc:3844

MITRE ATT&CK techniques