PWOBot: Neue Malware-Familie attackiert Unternehmen in Europa

Aktuelle Warnung von Palo Alto Networks vor „Python“-basierter Schadsoftware

[datensicherheit.de, 20.04.2016] In einer aktuellen Warnung weist Palo Alto Networks auf die Entdeckung der Malware-Familie „PWOBot“ hin. Das Besondere daran sei, dass diese Malware komplett in „Python“ geschrieben und über „PyInstaller“ kompiliert worden sei, um eine ausführbare Datei für „Microsoft Windows“ zu erzeugen. Von dieser Malware sei bereits eine Reihe von Unternehmen in Europa betroffen – verbreitet werde der größte Teil offensichtlich über einen File-Sharing-Dienst.

Bisher bereits Angriffe in Dänemark, Frankreich und Polen

„PWOBot“ beinhalte eine Fülle von Funktionen, einschließlich der Fähigkeit, Dateien herunterzuladen und auszuführen, „Python“-Code auszuführen, Tastatureingaben zu protokollieren, einen HTTP-Server zu generieren und Bitcoin-Mining über die CPUs und GPUs der Opfer-Rechner zu betreiben.
Es gebe mindestens zwölf Varianten von „PWOBot“. Die Unterschiede zwischen den Versionen erschienen minimal und dienten wahrscheinlich der Optimierung der Performance.
Angriffe, die dieser Malware zugerechnet würden, gingen bis Ende 2013 zurück und hätten sich zuletzt intensiviert. Betroffen seien unter anderem in Polen ein Forschungsinstitut, eine Reederei, ein Einzelhandelsunternehmen, ein IT-Unternehmen sowie in Dänemark ein Bauunternehmen und in Frankreich ein Anbieter von optischen Geräten.

Keylogging

Einige Samples von „PWOBot“ gäben sich als Software-Utility-Programme aus. Die Auslieferung erfolge vermutlich auf die Art, dass der Endnutzer glaube, eine andere Software herunterzuladen. Alternativ sei es möglich, dass Phishing-Angriffe verwendet würden, um Opfer dazu zu verleiten, diese Dateien herunterzuladen.
Nach Abschluss der Installation erfasse „PWOBot“ verschiedene Tastatur- und Mausaktivitäten, die für späteres Keylogging verwendet würden. „PWOBot“ sei auch mit zwei Konfigurationsdateien ausgestattet, von denen eine verschiedene Einstellungen zur Verwendung der Malware vorgebe, während die andere angebe, mit welchen Remote-Servern „PWOBot“ während der Ausführung eine Verbindung herstellen solle. „PWOBot“ enthalte verschiedene ausführbare „Windows“-Dateien. Diese würden verwendet, um Bitcoin-Mining und Proxy-Anfragen über „Tor“ auszuführen. Der Bitcoin-Miner sei eine kompilierte Version von „minerd“ und „cgminer“. Diese Dateien würden für CPU- und GPU-Bitcoin-Mining verwendet.

Bedrohung auch für andere Betriebssysteme

„PWOBot“ sei in modularer Weise aufgebaut, so dass der Angreifer verschiedene Module während der Laufzeit einbinden könne. Durch die Verwendung von „Python“ könne die Malware leicht auf andere Betriebssysteme portiert werden, wie „Linux“ oder „OS X“. Diese Tatsache, in Kombination mit einem modularen Aufbau, mache „PWOBot“ zu einer potenziell erheblichen Bedrohung.

Nutzung von „Tor“ zum Tunneln des gesamten Datenverkehrs

„PWOBot“ nutze „Tor“ zum Tunneln des gesamten Datenverkehrs an die Remote-Server des Angreifers, was Verschlüsselung und Anonymität biete. Werde solcher Verkehr beobachtet, der die Sicherheitsregeln des betroffenen Unternehmens verletzen dürfte, sollte dies eine Warnung an den Netzwerkadministrator sein.
„PWOBot“ verwende ein „Python“-Dictionary als Netzwerk-Protokoll. Zu bestimmten Zeiten sende er eine Benachrichtigung an den Remote-Server. Der Angreifer könne dann „PWOBot“ anweisen, bestimmte Aktivitäten auszuführen, deren Resultate dann zum Angreifer hochgeladen würden.

Mehr Informationen zum Thema:

paloalto NETWORKS, 19.04.2016
Python-Based PWOBot Targets European Organizations