Europol macht SmokeLoader-Kunden dingfest

In einer koordinierten Aktion haben Ermittler europaweit Kunden des sogenannten SmokeLoader-Botnetzes ins Visier genommen. Das Netzwerk, das von einem Akteur mit dem Pseudonym „Superstar“ betrieben wurde, bot einen Pay-per-Install-Service an. Dieser ermöglichte es Kriminellen, Schadsoftware gezielt auf den Rechnern von Opfern zu platzieren. Je nach Ziel nutzten sie den Zugriff, um beispielsweise Tastatureingaben auszuspähen, über Webcams zu spionieren, Erpressungstrojaner zu verbreiten oder Kryptowährungen zu schürfen.

Wie Europol mitteilt, wurden die Nutzer dieses Dienstes nun mit teils drastischen Konsequenzen konfrontiert: Hausdurchsuchungen, Verhaftungen, Haftbefehle oder Besuche, bei denen Verdächtige direkt zur Rede gestellt werden.

Die Maßnahmen sind Teil der laufenden Operation Endgame, mit der internationale Strafverfolger bereits im vergangenen Jahr die Infrastruktur mehrerer Malware-Loader wie IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee und TrickBot zerschlagen haben. Die aktuelle Phase richtet sich unter Beteiligung von Kanada, Tschechien, Dänemark, Frankreich, Deutschland, den Niederlanden und den Vereinigten Staaten nun gezielt gegen die Nachfrage – also gegen die Käufer und Nutzer solcher illegalen Dienste.

Ermittler konnten die Kunden identifizieren, indem sie auf eine zuvor beschlagnahmte Datenbank zugriffen und digitale Aliasnamen realen Personen zuordneten. In mehreren Fällen wurden Verdächtige vorgeladen, die sich schnell bereit erklärten, mit den Behörden zu kooperieren. Auch ihre Geräte wurden analysiert, um digitale Spuren zu sichern.

Laut Europol haben einige der Beschuldigten die über SmokeLoader erworbenen Zugänge mit Gewinn weiterverkauft, was die Ermittlungen zusätzlich erschwert. „Offenbar gingen manche davon aus, längst nicht mehr im Fokus zu stehen – bis sie eines Besseren belehrt wurden“, so die Behörde.

Malware-Loader: Immer neue Varianten im Umlauf

Malware-Loader – also Schadprogramme, die andere Schadsoftware nachladen – treten in ganz unterschiedlichen Formen auf und sind derzeit besonders aktiv im Umlauf. Jüngste Entwicklungen zeigen, wie vielseitig und trickreich diese Angriffsformen sein können.

So hat das Sicherheitsunternehmen Symantec (Broadcom) eine Phishing-Kampagne aufgedeckt, bei der das Windows-Bildschirmschonerformat (SCR) genutzt wird, um einen Loader namens ModiLoader (auch bekannt als DBatLoader oder NatsoLoader) auf betroffene Systeme zu bringen. Die Schadsoftware basiert auf der Programmiersprache Delphi.

Parallel dazu läuft eine weitere Kampagne, die Nutzer auf manipulierte Webseiten lockt. Dort werden sie dazu verleitet, vermeintliche Windows-Installationsdateien (MSI) auszuführen. In Wahrheit handelt es sich um den Legion Loader, eine weitere schädliche Nachlade-Malware.

Diese Kampagne nutzt sogenannte Pastejacking-Techniken: Dabei wird den Besuchern gezeigt, wie sie Text kopieren und in ein Ausführungsfenster einfügen sollen – doch der Inhalt wird unbemerkt manipuliert. Zudem werden Erkennungssysteme durch CAPTCHA-Abfragen oder als harmlos getarnte Blogseiten ausgetrickst, wie das Sicherheitsteam Unit 42 von Palo Alto Networks berichtet.

Auch der sogenannte Koi Loader verbreitet sich über Phishing-Mails. Er dient als erste Stufe in einer mehrstufigen Infektionskette und installiert schließlich den Koi Stealer – ein Schadprogramm, das sensible Informationen vom befallenen System stiehlt. Laut dem Sicherheitsunternehmen eSentire verfügen beide Programme über Funktionen zur Erkennung von virtuellen Maschinen (Anti-VM), um sich vor Analyse durch Sicherheitsforscher zu verbergen.

Doch damit nicht genug: In den letzten Monaten wurde auch der berüchtigte GootLoader (auch bekannt als SLOWPOUR) wieder aktiver. Er nutzt manipulierte, gesponserte Google-Suchergebnisse, um ahnungslose Nutzer in die Falle zu locken.

Wer zum Beispiel nach einer Vorlage für eine Vertraulichkeitsvereinbarung sucht, wird auf eine gefälschte Webseite weitergeleitet, wo die Eingabe der E-Mail-Adresse gefordert wird. Kurz darauf erhalten die Opfer eine Nachricht mit einem Download-Link für ein angeblich angefordertes Dokument. Dahinter verbirgt sich jedoch eine präparierte JavaScript-Datei, die beim Ausführen Schadcode nachlädt – genau wie bei früheren GootLoader-Angriffen.

Zuletzt wurde auch der JavaScript-Downloader FakeUpdates (auch unter dem Namen SocGholish bekannt) wieder gesichtet. Diese Malware wird über manipulierte Webseiten verbreitet und tarnt sich als angeblich notwendiges Update für den Webbrowser – etwa Google Chrome.

Google berichtet, dass Cyberkriminelle Schadsoftware über gehackte Webseiten verbreiten. Dazu schleusen sie schädlichen JavaScript-Code in Sicherheitslücken ein. Dieser Code erkennt, auf welchem System sich der Besucher befindet, prüft bestimmte Voraussetzungen und zeigt dann eine gefälschte Update-Seite an – zum Beispiel ein angeblich notwendiges Browser-Update.

Oft reicht es schon, eine solche manipulierte Seite zu besuchen, um unbemerkt Schadsoftware herunterzuladen (Drive-by-Download). Das eingeschleuste JavaScript fungiert dabei als sogenannter Downloader und sorgt dafür, dass weitere Schadprogramme nachgeladen werden.

Diese Masche mit den gefälschten Browser-Updates wird auch genutzt, um zwei besonders heimtückische Malware-Familien zu verbreiten:

• FAKESMUGGLES – nutzt eine Technik namens HTML Smuggling, bei der gefährliche Dateien unauffällig in Webseiten eingebettet und erst auf dem Rechner des Opfers zusammengesetzt werden. Damit werden unter anderem Fernwartungs-Tools wie NetSupport Manager installiert.
• FAKETREFF – baut eine Verbindung zu einem externen Server auf, um weitere Schadsoftware wie DarkGate herunterzuladen und gleichzeitig Informationen über das befallene System zu übermitteln.