Der bekannte und weit verbreitete Gozi ISFB Banking-Trojaner hat einen neuen Trick im Ärmel: Das Dark Cloud-Botnet wurde in einer Reihe von kürzlich durchgeführten Kampagnen für die Verbreitung genutzt.
Laut den Erkenntnissen von Cisco Talos begannen die Kampagnen im vierten Quartal 2017 und wurden bis ins Jahr 2018 fortgesetzt. Jede Woche werden neue Kampagnen gestartet. Sie sind relativ klein und auf bestimmte Organisationen ausgerichtet, und einige der E-Mails sind sogar lokalisiert.
"Sie scheinen keine großen Mengen von Spam-Nachrichten an die anvisierten Organisationen zu senden, sondern bleiben lieber unter dem Radar, während sie an der Erstellung überzeugender E-Mails arbeiten, um nicht erkannt zu werden und die Wahrscheinlichkeit zu maximieren, dass die Opfer die angehängte Datei öffnen, " sagten Forscher.
Die E-Mails sind so gestaltet, dass sie wie Teile eines bestehenden E-Mail-Threads aussehen, wahrscheinlich um das Opfer von ihrer Legitimität zu überzeugen. Hierfür erstellen Angreifer zusätzliche Dokumente. Von den mehr als 100 bösartigen Word-Dokumenten, die aus der Kampagne analysiert wurden, sind die meisten von ihnen individualisiert.
Dies ist nicht typisch für bösartige E-Mail-Kampagnen und zeigt den Grad an Aufwand, den Angreifer für die Legitimierung der E-Mails aufwenden.
Interessanterweise können Angreifer mithilfe der Dark Cloud-Infrastruktur schnell zu neuen Domains und IP-Adressen wechseln, und zwar nicht nur für jede Kampagne, sondern auch für einzelne E-Mails, die Teil derselben Kampagne sind. Die prominente Verwendung dieser sogenannten Fast-Flux-Techniken bedeutet, dass Angreifer ein umfangreiches Netzwerk von Proxys nutzen können, welche kontinuierlich die IP-Adresse ändert, die für die Kommunikation mit den Webservern verwendet wird. Insgesamt beobachtete Talos, dass der TTL-Wert (Time-to-Live) für DNS-Einträge in Domänen, die in diesen Malware-Kampagnen verwendet wurden, normalerweise auf 150 festgelegt wurde.
Hinsichtlich der geografischen Verteilung stellte Talos fest, dass die Angreifer anscheinend aktiv auf die Verwendung von Proxys und Hosts in Westeuropa, Mitteleuropa und Nordamerika verzichten. Der Großteil der analysierten Systeme befand sich in Osteuropa, Asien und dem Nahen Osten.
Gozi ist jedoch nicht der Einzige, der die Dark Cloud für die Verbreitung nutzt. Die Forscher haben eine erhebliche Menge weiterer schädlicher Aktivitäten festgestellt, die diese Infrastruktur nutzen.