News Ticker

Palo Alto Networks entdeckt neue Ransomware „Mole“ – Bösartige Spam-Kampagne steigert Komplexität und ändert stets die Taktik

Das Anti-Malware-Team von Palo Alto Networks meldet eine neue gefährliche bösartige Spam-Kampagne, die mit Links die Betroffenen auf gefälschte, online gestellte Microsoft-Word-Seiten umleitet. Auf diesen gefälschten Seiten wurden die Opfer aufgefordert, Microsoft Office-Plugins zu installieren, wobei es sich dabei um verkleidete Malware handelte. Diese Kampagne nutzt eine Ransomware namens „Mole“: Die Namen für alle damit verschlüsselten Dateien enden mit .MOLE. Die Ransomware scheint Teil der Familie CryptoMix zu sein, da sie viele Eigenschaften mit den Revenge- und CryptoShield-Varianten von CryptoMix teilt.

Das Besondere an dieser Malware-Kampagne ist, dass sie seit der Entdeckung schnell die Taktik änderte und die Komplexität erhöhte. Bereits zwei Tage nach der Enttarnung änderten die Kriminellen hinter diesen gefälschten Office-Plugins das Format und starteten zusätzliche Malware. Neben Mole-Ransomware würden sich die Opfer nun mit Kovter und Miuref infizieren. Am dann folgenden Tag stoppten die Angreifer die Nutzung eines Umleitungslinks in der bösartigen Spam-Mail und setzten stattdessen auf eine direkte Verknüpfung mit einer falschen Word-Online-Website.

Anfangs wurden auf der gefälschten Word-Online-Seite Google-Docs-Links verwendet, um Mole-Ransomware als Office-Plugin zu verkleiden. Die Cyberkriminelle, die hinter dieser Kampagne stecken, missbrauchten Google Docs, um einen Link für eine ausführbare Datei bereitzustellen. Die Dateinamen waren plug-in.exe oder plugin.exe. Nach dem Herunterladen der ausführbaren Datei führte das Opfer die Ransomware aus und infizierte so seinen Windows-PC.

Dann wechselte die Kampagne erneut die Taktik. Die gefälschten Microsoft Word Online-Sites nutzten keine Google-Docs-URL mehr, um ihre Malware bereitzustellen. Stattdessen wurde die Malware als Zip-Archiv direkt aus der kompromittierten Website gesendet, die als gefälschte Microsoft-Word-Online-Seite verwendet wurde. Die Zip-Archive enthielten JavaScript-Dateien (.js), die entworfen wurden, um Windows-Computer mit Mole-Ransomware und zusätzlicher Malware zu infizieren.

Die meisten großflächigen bösartigen Spam-Kampagnen neigen dazu, bei Operationsmustern zu bleiben, die für Malware-Forscher viel einfacher zu identifizieren und zu verfolgen sind. Diese Kampagne hat sich schneller entwickelt, als es normalerweise zu beobachten ist. Eine solche Veränderungstaktik ist wahrscheinlich ein Weg, um eine Erkennung zu vermeiden. Und diese Kampagne entwickelt sich weiter. Am 18. April begannen die Akteure den Banking-Trojaner KINS mittels Kovter und Miuref zu verbreiten. Am 21. April 2017 wechselte zudem die Thematik der Spam-Mails.

Ransomware-Familien verändern sich ständig. CryptoMix-Varianten wie Mole bleiben selten für mehr als ein paar Wochen erhalten, bevor sie neu verpackt und als neue Variante verteilt werden. Die Samples von Mole, die Palo Alto Networks identifiziert hat, sind AutoFocus von Palo Alto Networks mit dem Tag MoleRansomware [1] markiert.

Palo Alto Networks wird diese Aktivität weiterhin auf die anwendbaren Indikatoren hin untersuchen, um die Community zu informieren und seine Threat-Prevention-Plattform weiter zu verbessern.

[1] autofocus.paloaltonetworks.com/#/tag/Unit42.MoleRansomware