Lesezeit
3 Minuten
Dridex von EvilCorp: Profil eines Serientäters
Der Banking-Trojaner Dridex ist eine der notorischsten Cyberbedrohungen und die verantwortliche Hackergruppe dahinter, EvilCorp, ist mittlerweile für einen Schaden von über 100 Millionen US-Dollar am internationalen Bankenwesen verantwortlich. Doch wie schaffte es die Malware, im März 2020 sogar Emotet von der Spitze der Top-Malware zeitweise zu verdrängen? Wir werfen einen Blick auf die Ursprünge und die Entwicklung des Serientäters.
Der Quellcode von Malware kann verraten, wo ihre Ursprünge liegen. Im Fall von Dridex sind diese auf einen Trojaner namens ZeuS zurückzuführen, der von 2005 bis 2014 aktiv war, bevor die US-amerikanische Ermittlungsbehörde FBI in der Lage war, ihm das Handwerk zu legen. Bereits im Mai 2011 wurde jedoch der Quellcode von ZeuS öffentlich, was zu zahlreichen Nachahmern und Verbesserungen durch andere Hackergruppen führte.
Insgesamt fanden die Sicherheitsexperten bis heute 29 unterschiedliche Malwarefamilien und über 490 unterschiedliche Versionen, die allesamt auf ZeuS zurückzuführen sind. Entsprechend begann das FBI im Jahr 2014 eine Fahndung nach dem Kopf hinter ZeuS, Evgeniy Bogachev, und stellte eine Belohnung in Höhe von drei Millionen US-Dollar für Hinweise in Aussicht, die zu seiner Festnahme führen.
Die ersten Versionen der Malware, die wir heute als Dridex kennen, tauchten schon 2014 auf, damals noch unter dem Namen Bugat v5. Das Botnetz kletterte schnell durch die Ranglisten nach oben und zählte schon 2015 zu den aktivsten Botnetzen weltweit. Es folgte ein Einbruch der Aktivitäten, nachdem Andrey Ghinkul im August 2015 von Ermittlern verhaftet und in die Vereinigten Staaten von Amerika überführt worden war. Daraufhin kehrte Dridex jedoch sehr schnell – anders als erwartet – mit einem Knall zurück. Schon im November 2015 wurde das Botnetz wieder tätig und breitete sich im folgenden Jahr weit aus. Ende 2016 zählten zu Dridex bereits über 30 angeschlossene Haupt- und Sub-Botnetzwerke. Zusätzlich förderten die Akteure hinter Dridex die Entwicklung weiterer Malware, unter anderem der Ransomwares BitPaymer im Jahr 2017 (seit 2019 zu DoppelPaymer gewandelt) und WastedLocker, die 2020 entwickelt wurde.
Die Infektionskette von Dridex
Zur Verteilung der eigenen Malware nutzen die Kriminellen hinter Dridex die Spambots anderer Gruppen, die in der Lage sind, große Mengen mit Malware infizierter E-Mails gezielt zu versenden. Dafür wird das Schadprogramm in Anhängen, wie Dokumenten, versteckt und wird tätig, sobald ein unvorsichtiger Nutzer diese öffnet. Zusätzlich hatte Dridex in der Vergangenheit auch andere Botnetze zur eigenen Verteilung genutzt, unter anderem Necurs, Cutwail und Andromeda.
Bild 1: Infektionskette von Dridex.
Die Angriffe laufen stets gleich ab: Öffnet der Anwender die infizierte Datei, so werden VBA-Makros (Visual Basics for Application) ausgeführt. Diese wiederum starten automatisch ein PowerShell-Skript, das die Nutzdateien (Payload) für Dridex von einem Command-and-Control-Server (C&C) der Hacker herunterlädt. Anschließend wird diese Datei ausgeführt und der Rechner infiziert. Ziel der Angriffe waren bisher unter anderem US-Bankkonten, US-Kreditkartengesellschaften, US-Finanzinvestitionsgesellschaften, europäische Bankkonten, Regierungsbehörden in Saudi-Arabien, Katar und Oman sowie Anwaltskanzleien in Deutschland.
Um die Opfer gleichzeitig in Sicherheit zu wiegen, nutzen die mit Malware verseuchten E-Mails den Deckmantel legitimer Geschäfte und Dienstleister. Entsprechend lauten die Betreffzeilen sowie die Texte in der Nachricht und entsprechend täuschend echt wirkt die oft sehr professionell gestaltete graphische Aufmachung der E-Mails. Besonders beliebt sind Paketlieferdienste wie FedEx oder DHL, die mit falschen Sendungsinformationen locken – besonders angesichts der aktuellen gesellschaftlichen Lage wegen der Corona-Krise und dem Zuwachs des Versandhandels. Einer der bekanntesten Zwischenfälle in Deutschland war eine Kampagne, die Anwaltskanzleien ins Visier nahm. Die Kriminellen versuchten dabei, sich und die Malware-Mails als Korrespondenzen mit anderen Anwaltskanzleien zu tarnen und so über Dridex einen Zugang zu den Kanzleisystemen zu erlangen.
Gefährliche Payload
Der wichtigste Teil der Infektionskette von Dridex aber ist die Konfiguration in der Payload. Sie enthält wichtige Informationen wie die Bot-ID oder die Anzahl der C&C-Server und eine Liste der C&C-Server selbst. Die Malware sendet eine POST-Anfrage an die in der Konfiguration vermerkten C&C-Server, sobald sie auf dem Zielrechner installiert wurde, und wartet auf eine Empfangsbestätigung derselben. Um die Nachverfolgung dieser verräterischen Kommunikation zu erschweren, nutzt Dridex den Umweg über mehrere Reihen von Proxy-Servern, um die C&C-Server zu kontaktieren.
Bild 2: Infrastruktur des Dridex-Botnetzes.
Ist der Kontakt hergestellt, werden die Befehle an die Malware ausgegeben und sie beginnt damit, Informationen über den infizierten Rechner zu sammeln, zu verschlüsseln und an das die Server des Botnetzes zu übermitteln. Zu den attraktiven und überaus nützlichen Informationen gehören
- der Computer-Name
- die Botnetz-ID-Nummer
- der Typus der Anfrage
- die Betriebssystemarchitektur
- die Liste der installierten Software
ln/Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point