Malware Welle – Januar 2014

by Jan 15, 2014

Derzeit rollt eine interessante Mail-Welle durch Deutschland und adressiert vor allem deutsche Unternehmen. Es handelt sich wie üblich um eine Rechnung von “Telekom/Vodafon/Volksbank”, die als Link in der Mail hinterlegt ist.
Telekom Rechnung Januar

Telekom Rechnung mit Link auf Cridex Malware


Der Link verweist nicht auf eine EXE oder ZIP sondern auf ein directory. Zurückgeliefert wird beim Aufruf aber ein ZIP File. Im ZIP befindet sich eine Executable, die bis vor einigen Stunden noch von keinem AV Hersteller erkannt wurde.
Auch jetzt ist die Erkennungsrate noch relativ schlecht.
Dir URLs kann man in ProxyLogs eventuell an folgenden Strings erkennen

URL Strings

/volksbank/
/telekom/
/vodafon/
/NTTCable/

TLDs

Die TLDs waren häufig – aber nicht immer – “.ru” Domains.

Sandboxing

Die üblichen Sandboxen haben Probleme mit der Analyse des Samples.

Virustotal Report

https://www.virustotal.com/en/file/519120e4ff6524353247dbac3f66e6ddad711d384e317923a5bb66c16601743e/analysis/

YARA Rule (u.a. für FireEye geeignet)


rule Malware_Cridex_Generic {
meta:
description = "Rule matching Cridex-C Malware distributed in a German Campaign, January 2014 (Vodafone, Telekom, Volksbank bills)"
author = "F. Roth"
date = "2014-01-15"
reference = "https://www.virustotal.com/en/file/519120e4ff6524353247dbac3f66e6ddad711d384e317923a5bb66c16601743e/analysis/"
hash = "86d3e008b8f5983c374a4859739f7de4"
strings:
$c1 = "NEWDEV.dll" fullword
$c2 = "COMUID.dll" fullword
$a1 = "\\>:t; brIs" fullword
$a2 = "C:\\RcbmbtJK" fullword
condition:
1 of ($a*) or all of ($c*)
}

User Agent – harter Indikator

TLP Green – nur auf Anfrage

C2 Server

TLP Green – nur auf Anfrage

Informationen zur Malware-Kampagne

http://blog.mxlab.eu/2014/01/14/fake-email-from-t-mobile-with-online-invoice-for-january-2014-leads-to-malware/

About the author:

Florian Roth

Florian Roth serves as the Head of Research and Development at Nextron Systems. With a background in IT security since 2000, he has delved deep into nation-state cyber attacks since 2012. Florian has developed the THOR Scanner and actively engages with the community via his Twitter handle @cyb3rops. He has contributed to open-source projects, including 'Sigma', a generic SIEM rule format, and 'LOKI', an open-source scanner. Additionally, he has shared valuable resources like a mapping of APT groups and operations and an Antivirus Event Analysis Cheat Sheet.

Newsletter

New blog posts
(~1 email/month)

GDPR Cookie Consent with Real Cookie Banner