Nemucod weiter gefährlich
Bereits vor etwas mehr als einer Woche berichteten wir darüber, dass Nemucod sich nun auf das Generieren von Klicks auf Online-Werbeanzeigen konzentriert. Dafür wird ein Backdoor-Trojaner namens Win32/Kovter eingeschleust. Jetzt sieht es aber ganz danach aus, als ob die Entwickler einen Schritt weitergegangen sind. Neben dem automatischen Generieren von Klicks droht den Opfern nun auch noch eine Kompromittierung durch Ransomware.
Wie vorher empfangen ausgesuchte Opfer eine E-Mail mit einem schädlichen Anhang. Dieser ist ausführbar und enthält den Malware-Downloader. Nach dem er entpackt und gestartet wurde, werden fünf Dateien aus dem Internet heruntergeladen. Zwei davon erkennt ESET Antivirus als Win32/Kovter und Win32/Boaxxe.
Aber das ist erst der Anfang. Die drei verbliebenen Dateien haben die Aufgabe, wertvolle Dokumente auf dem kompromittierten System zu finden und diese zu verschlüsseln. Um die Ransomware ausführen zu können, installiert Nemucod einen PHP Interpreter und die nötige PHP Library (beide Dateien sind sauber). Danach wird eine dritte Datei heruntergeladen, die von ESET als PHP/Filecoder.D erkannt wird. Diese nimmt ihren schädlichen Dienst auf und beginnt mit ihrem unauslesbaren Verschlüsselungsschlüssel wichtige Dokumente auf dem System unbrauchbar zu machen.
Das Resultat: Dateien mit einer von über 120 Dateiendungen, inklusive MS Office Dateien, Bilder, Videos, Musikdateien und andere werden verschlüsselt und bekommen die Endung „.crypted“. Nach dem die Ransomware fertig ist, erstellt Nemucod eine Textdatei mit einer Lösegeldforderung. Zum Schluss werden noch der PHP Interpreter, die zugehörige Bibliothek und der Filecoder vom System gelöscht.
Betrachtet man den Rest der Nutzlast, kann man feststellen, dass Boaxxe ein ferngesteuertes Backdoor ist. Die Malware ist in der Lage, Dateien zu beziehen, auszuführen und Erweiterung in Chrome oder Firefox zu installieren. Obendrauf verbindet der Trojaner das System noch mit einem C&C-Server und ein Hintermann kann dadurch den Computer für Proxy-Verbindungen missbrauchen. Dieser nutzt den PC dann, um Klicks zu erzeugen und den Traffic einer Website zu erhöhen.
In Lateinamerika wurde noch eine ganz andere Aktivität von Nemucod registriert. Brasilianische User sind der Gefahr des Banking-Trojaners Win32/Spy.Banker.ADEA ausgesetzt.
