Denis Legezo von Securelist / Kaspersky hat die Malware-Kampagne WildPressure im Frühling 2021 genauer beobachtet. Er konnte mehrere neue Varianten entdecken. Eine davon basiert auf Python und ist neben Windows auch auf macOS lauffähig.
Bereits 2019 entdeckt
Kaspersky entdeckte bereits im August 2019 einen neue C++ basierten Trojaner namens Milum. Ziel der Schadsoftware waren Firmen im Mittleren Osten, unter anderem aus dem Industriesektor. Der Malware-Kampagne gab man die Bezeichnung WildPressure.
Es wurden nur drei verschiedene Dateisamples der Malware Milum entdeckt. Das deutete darauf hin, dass es sich dabei um sehr gezielte Angriffe gehandelt haben müsste. Das Erstellungsdatum der Dateien lag im März 2019, wobei keine Infektionen vor dem 31. Mai 2019 entdeckt wurden.
Als Backend setzten die Angreifer auf Server von OVH und Netzbetrieb VPS. Die Domains wurden über Domains by Proxy verschleiert.
WildPressure: Pythonvariante sehr ähnlich zu Milum
Die neue Malware hört auf den Namen Guard und weist extreme Parallelen zu Milum auf. Sie setzt auf das gleiche Grunddesign, einen ähnlichen Codingstil. Guard verwendet das von Milum bekannte C2 Protokoll.
Das Ziel von Guard scheint es zu sein, Firmen aus der Öl- und Gasindustrie zu kompromittieren.
Auffällig ist, dass es im Programmcode des Trojaners spezielle Routinen für macOS gibt, die prüfen, ob Guard schon aktiv ist. Damit ist klar, dass auch Rechner mit Apples Betriebssystem befallen werden sollen.
Auszug des Quellcodes von WildPressure für macOS. Foto: SecureList by Kaspersky, thx!
Tandis basiert auf VBScript
Neben den bereits bekannten Varianten Milum (C++) und Guard (Python), wurde eine weitere Abart der Malware auf Basis von VBScript gefunden. Dabei nutzt sie, wie auch die bereits bekannten Ausführungen, auf das C2 Kommunikationsprotokoll.
Orchestrator: Weitere Plugin-basierte C++ Malware
Weiterhin hat Legezo eine weitere auf C++-basierte Malware analysiert. Diese kann man mit Plugins sehr stark erweitern. Es existiert beispielsweise ein Fingerprinting-Plugin, welches dazu dienen könnte, ein System sehr genau zu identifizieren. Weitere Beispiele sind ein Keylogger oder eine Erweiterung für Screenshots.
Außerdem besteht auch hier eine starke Ähnlichkeit im Codingstil und Grundaufbau. Folglich stammt Orchestrator vom gleichen Entwickler.
Reverse Engineering von WildPressure
Auf dem YouTube Kanal von Kaspersky Tech zeigt Denis Legezo, wie er die eben genannte Malware in seine Bestandteile zerlegt und analysiert.
Allow YouTube content?
This page contains content provided by YouTube. Your consent is requested before loading the content, as it may use cookies and other technologies. You may want to read YouTube’s privacy policy and cookie policy before accepting.
Selbst im Umgang mit Apple-Geräten muss nicht zwingend eine kostenpflichtige Software zum Einsatz kommen. Auf macOS kann beispielsweise das kostenlose Open Source-Tool BlockBlock von Objective-See die Aktivitäten des Schädlings erkennen.
Tarnkappe.info
