WildPressure: Neue Malware für macOS und Windows
Bildquelle: CHUTTERSNAP

WildPressure: Neue Malware für macOS und Windows

Denis Legezo Kaspersky hat die Malware-Kampagne WildPressure im Frühling 2021 genauer beobachtet und dabei mehrere neue Varianten entdeckt.

Denis Legezo von Securelist / Kaspersky hat die Malware-Kampagne WildPressure im Frühling 2021 genauer beobachtet. Er konnte mehrere neue Varianten entdecken. Eine davon basiert auf Python und ist neben Windows auch auf macOS lauffähig.

Bereits 2019 entdeckt

Kaspersky entdeckte bereits im August 2019 einen neue C++ basierten Trojaner namens Milum. Ziel der Schadsoftware waren Firmen im Mittleren Osten, unter anderem aus dem Industriesektor. Der Malware-Kampagne gab man die Bezeichnung WildPressure. Es wurden nur drei verschiedene Dateisamples der Malware Milum entdeckt. Das deutete darauf hin, dass es sich dabei um sehr gezielte Angriffe gehandelt haben müsste. Das Erstellungsdatum der Dateien lag im März 2019, wobei keine Infektionen vor dem 31. Mai 2019 entdeckt wurden. Als Backend setzten die Angreifer auf Server von OVH und Netzbetrieb VPS. Die Domains wurden über Domains by Proxy verschleiert.

WildPressure: Pythonvariante sehr ähnlich zu Milum

Die neue Malware hört auf den Namen Guard und weist extreme Parallelen zu Milum auf. Sie setzt auf das gleiche Grunddesign, einen ähnlichen Codingstil. Guard verwendet das von Milum bekannte C2 Protokoll. Das Ziel von Guard scheint es zu sein, Firmen aus der Öl- und Gasindustrie zu kompromittieren. Auffällig ist, dass es im Programmcode des Trojaners spezielle Routinen für macOS gibt, die prüfen, ob Guard schon aktiv ist. Damit ist klar, dass auch Rechner mit Apples Betriebssystem befallen werden sollen.
wildpressure
Auszug des Quellcodes von WildPressure für macOS. Foto: SecureList by Kaspersky, thx!

Tandis basiert auf VBScript

Neben den bereits bekannten Varianten Milum (C++) und Guard (Python), wurde eine weitere Abart der Malware auf Basis von VBScript gefunden. Dabei nutzt sie, wie auch die bereits bekannten Ausführungen, auf das C2 Kommunikationsprotokoll.

Orchestrator: Weitere Plugin-basierte C++ Malware

Weiterhin hat Legezo eine weitere auf C++-basierte Malware analysiert. Diese kann man mit Plugins sehr stark erweitern. Es existiert beispielsweise ein Fingerprinting-Plugin, welches dazu dienen könnte, ein System sehr genau zu identifizieren. Weitere Beispiele sind ein Keylogger oder eine Erweiterung für Screenshots. Außerdem besteht auch hier eine starke Ähnlichkeit im Codingstil und Grundaufbau. Folglich stammt Orchestrator vom gleichen Entwickler.

Reverse Engineering von WildPressure

Auf dem YouTube Kanal von Kaspersky Tech zeigt Denis Legezo, wie er die eben genannte Malware in seine Bestandteile zerlegt und analysiert.

Erkennung von WildPressure

Selbst im Umgang mit Apple-Geräten muss nicht zwingend eine kostenpflichtige Software zum Einsatz kommen. Auf macOS kann beispielsweise das kostenlose Open Source-Tool BlockBlock von Objective-See die Aktivitäten des Schädlings erkennen. Tarnkappe.info  

Über

honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.