Malware-Kampagne verteilt Banking-Trojaner per CHM-Anhang

Publiziert am 9. Oktober 2017 von Günter Born

Ein Sicherheitsforscher hat einen neuen Angriffsvektor in einer Spam-Mail-Kampagne entdeckt. Als Anhang wird eine CHM-Datei verteilt, die über die PowerShell einen Banking-Trojaner verteilt. Dieser zielt zwar auf brasilianische Banken, der Trojaner kann aber leicht ausgetauscht werden.

Anzeige

Die Information wurde von 'My name IS' unter @azsxdvfbg auf Twitter veröffentlicht.

Die als Spam verschickten E-Mails geben vor, von WhatsApp verschickt worden zu sein. In einem Link wird angegeben, dass sich dort ein Konversationsverlauf eines WhatsApp-Chats befinden soll. Als Betreff wird das Portugiesische "Conversa do WhatsApp com" oder ähnliches verwendet. Klickt der Benutzer auf den in der E-Mail enthalten Link, wird eine von einer brasilianischen IP-Adresse eine Zip-Datei mit dem Namen Whats_email [@ ]example.com.zip heruntergeladen. Im ZIP-Archiv befindet sich eine CHM-Datei mit einem Namen der Art Whats_email [@ ]example[dot]com[dot]chm.

Eine CHM-Datei ist eine compilierte Windows-Hilfedatei, die HTML-Texte enthält, zwischenzeitlich aber in Windows aus Sicherheitsgründen eigentlich nicht mehr unterstützt wird. Öffnet der Benutzer trotzdem die Hilfedatei, es handelt sich um eine modifizierte tcpip.chm mit einem eingebetteten OCX-Objekt, startet dieses einen PowerShell-Befehl. Der PowerShell-Befehl lädt dann den Trojaner herunter und installiert diesen.

Diese Technik ist nicht neu und wurde 2005 erstmals beschrieben. Ein Tutorial zur Verwendung des Pentesting-Tools Kautilya zur Erstellung dieser bösartigen CHM-Datei wird hier beschrieben. Die Verwendung von bösartigen CHM-Dateien kann eine funktionelle Methode zur Umgehung von AV-Software sein, da dieses bösartige CHM nur von 10/60 Anbietern auf VirusTotal erkannt wird. Weitere Details zu diesem Fall finden sich bei Bleeping Computer, die auch einige Screenshots vom Entdecker der Malware erhalten und publiziert haben.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Malware-Kampagne verteilt Banking-Trojaner per CHM-Anhang

  1. Dekre sagt:
    9. Oktober 2017 um 11:27 Uhr

    Vielleicht hat deshalb im ersten Preview Rollup KB4038803 vom 19.09.2017 bei mir danach keine chm-Datei mehr funktioniert und MS hat das dann schnell umgestellt?
    Vgl. hier:
    http://www.borncity.com/blog/2017/09/20/windows-78-1-preview-rollups-september-2017/

    Nun geht es problemlos.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.