CheckPoint enttarnt Hacker hinter APOMacroSploit Malware Builder

Sicherheitsforscher der Firma CheckPoint haben wohl die Entwickler hinter dem APOMacroSploit Malware Builder enttarnt. Die französischen Strafverfolger wurden eingeschaltet, um der Sache nachzugehen.


Anzeige

Worum geht es?

Der APOMacroSploit Malware Builder ist schlicht ein Tool in Form eines Macro Exploit-Generators für Office-Dateien, der in diversen Malware-Kampagnen eingesetzt wird. Der APOMacroSploit Office-Malware-Builder wurde erst Ende November 2020 durch CheckPoint entdeckt. Der Generator wurde zur Gestaltung von bösartigen E-Mails eingesetzt, mit denen mehr als 80 CheckPoint -Kunden weltweit angegriffen wurden.

Bei der Untersuchung fanden die Sicherheitsforscher von CheckPoint heraus, dass dieses Tool Funktionen enthält, um die Erkennung durch Windows Defender zu umgehen und täglich aktualisiert wird, um niedrige Erkennungsraten zu gewährleisten. Die Malware-Infektion beginnt, wenn der dynamische Inhalt des angehängten XLS-Dokuments aktiviert wird und ein XLM-Makro automatisch den Download eines Windows-Systembefehlsskripts startet.

Die CheckPoint-Sicherheitsleute haben mehrere Fälle von Angriffen im Zusammenhang mit diesem Tool verfolgt. Ziel der Angriffe war es, den Rechner des Opfers fernzusteuern und Informationen zu stehlen. Anhand der Anzahl der angegriffenen Kunden und des niedrigsten Optionspreises, der für dieses Produkt verlangt wird, schätzen die CheckPoint-Leute, dass die beiden Hacker hinter dem Toolkit in 1,5 Monaten mindestens 5000 US-Dollar durch den Verkauf des APOMacroSploit-Produkts verdient haben.

Identität der beiden französischen Hacker enttarnt

Im Blog-Beitrag ApoMacroSploit : Apocalyptical FUD race beschreiben die CheckPoint-Leute Details und wie sie die beiden Haupttäter enttarnen konnten. An den Kampagnen sind ca. 40 verschiedene Hacker beteiligt, die bei ihren Angriffen 100 verschiedene E-Mail-Absender verwenden. Insgesamt ergab die CheckPoint-Telemetrie, dass Angriffe in mehr als 30 verschiedenen Ländern stattfanden.

Das ursprüngliche bösartige Dokument, das die Opfer als E-Mail-Anhang erhielten, war eine XLS-Datei, die ein verschleiertes XLM-Makro namens Macro 4.0 enthielt. Das Makro wird automatisch ausgelöst, wenn das Opfer das Dokument öffnet, und lädt eine BAT-Datei von cutt.ly herunter. Dort wird der attrib-Befehl ausgeführt, um die BAT-Datei auf dem Rechner des Opfers zu verstecken.

In dieser Phase des Angriffs haben die Angreifer einen entscheidenden Fehler gemacht. Die cutt[.]ly-Domain leitet direkt auf einen Download-Server um und führt die Anfrage nicht im Backend aus. Diese Server hosten die BAT-Dateien, wobei für jede Datei der Nickname des Kunden, der die Malware nutzt, innerhalb des Dateinamens eingefügt wurde.

(Quelle: CheckPoint)


Anzeige

Der APOMacroSploit wird auf HackForums[.]net von zwei Benutzern mit den Namen Apocaliptique (Apo) und Nitrix verkauft. Die Sicherheitsforscher haben auch einen Discord-Kanal gefunden, in dem Nitrix als Entwickler des Tools genannt wird und Apo der Admin ist. Über diverse Sozial Media- und Forenprofile (YouTube, Skype) konnten die Sicherheitsforscher von CheckPoint den Ursprung der Entwickler bis nach Frankreich verfolgen. Der Hacker hatte den Fehler begangen, ein Bild von einem Ticket auf Twitter zu posten, das er für ein Konzert im Dezember 2014 gekauft hat.

Dann gab es bei der Suche in Social Media-Profilen einen Treffer bei einem Facebook-Konto, wo das gleiche Bild des Tickets auftauchte. Laut seinem Facebook-Konto lebte Nitrix tatsächlich in Noisy-Le-Grand in Frankreich. Seine Nitrix LinkedIn-Seite verrät, wo der Hacker studiert hat und dass er 4 Jahre Erfahrung als Softwareentwickler hat.

Der zweite Hacker nutzen den Namen Apo und den Nicknamen "Apocaliptique"  in HackForums[.]net. Die CheckPoint-Leute haben seinen Skype-Nicknamen apocaliptique93  herausgefunden. Auf Grunde diverser Sachverhalte gehen die Sicherheitsforscher davon aus, dass Apocaliptique wie Nitrix in Frankreich ansässig ist. Sein Pseudonym, das er verwendet, ist entweder "apo93" oder "apocaliptique93". Die "93" ein übliches Suffix für französische Bürger, die in Seine Saint Denis leben.

Es wurde auch ermittelt, dass der Hacker mit diesem Nickname und Skype-Namen League of Legends-Konten spielt und diese auch verkauft. Der CheckPoint-Beitrag enthält weitere Details der Operationen. CheckPoint hat die Informationen an französische Behörden zur Verfolgung weitergegeben. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu CheckPoint enttarnt Hacker hinter APOMacroSploit Malware Builder

  1. besser nicht sagt:

    Es gab seit Oktober 2020 auffallend viel malware mit Excel4Macro (seit 1995 outdated). Nach meinem Gedächtnis hatten die IT-Security-Institute die Excel-Dateien mehreren Gruppen zugeordnet.

    Das "grüne Bild", das Checkpoint zeigt, war auch dabei. Das skurillste war, eine Word-Datei (doc), die mit VBA ein Excel-Sheet mit XLM-Makro anlegt.

  2. Henning sagt:

    Hey Günni.
    Dein VGwort Pixel ist falsch eingebunden.
    Ich denke den sollte man nicht als Text lesen können :P

    Worum geht es?

    img src="https://vg09.met.vgwort.de/na/f2c9573e33d8433984d94f4fc91704ba" width="1″ height="1″ alt="">Der APOMacroSploit Malware Builder ist sch…

Schreibe einen Kommentar zu Henning Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.