RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

Palo Alto Networks beobachtet neuen, kommerziell erfolgreichen Remote-Access-Trojaner

[datensicherheit.de, 16.08.2016] Das Malware-Forschungsteam von Palo Alto Networks, die „Unit 42“, hat nach eigenen Angaben einen neuen Remote-Access-Trojaner (RAT) beobachtet, der unter dem Namen „Orcus“ zum Preis von 40 US-Dollar verkauft wird. Obwohl „Orcus“ alle typischen Merkmale von RAT-Malware aufweise, biete er Benutzern die Möglichkeit, eigene Plugins zu bauen. „Orcus“ habe zudem eine modulare Architektur – für eine bessere Verwaltung und Skalierbarkeit.

„Sorzus“ und „Armada“ offensichtlich die zentralen Akteure

Im Oktober 2015 habe der Entwickler von „Orcus“ unter dem Alias „Sorzus“ einen Thread in einem Hacker-Forum veröffentlichte, um ein Feedback einzuholen, wie er seinen neuen RAT-Trojaner am besten veröffentlichen würde. Ein Forumsbenutzer namens „Armada“ habe hierzu Hilfe angeboten.
Seitdem seien „Sorzus“ und „Armada“ offensichtlich die beiden zentralen Akteure, die den Vertrieb und die Entwicklung von „Orcus“ verwalteten.

Unterschiedliche Angriffsvektoren

„Orcus“ sei in „C#“ (gesprochen „C sharp“) entwickelt worden und habe drei Hauptkomponenten in seiner Architektur: den „Orcus“-Controller, den „Orcus“-Server und die Trojaner-Binärdatei, die auf einem infizierten Computer bereitgestellt werde.
Die Angriffsvektoren seien unterschiedlich und reichten von „Spear Phishing“ (mit der Malware-Binärdatei in einer E-Mail) über einen Hyperlink mit Download-Link zur „Orcus“-Malware bis hin zu Drive-by-Download-Methoden.

Aufbau bietet mehrere Vorteile für Cyber-Kriminelle

Sobald ein Opfer infiziert ist, verbindet sich laut Palo Alto Networks normalerweise die RAT-Malware zurück zum Admin-Panel des Angreifers, um Daten zu senden und die Steuerung des infizierten Rechners zu aktivieren. Bei „Orcus“ hingegen erfolge die Verbindung zurück zu einem „Orcus“-Server, auf dem kein Admin-Panel vorgehalten werde. Stattdessen nutze „Orcus“ eine separate Komponente als Admin-Panel („Orcus Controller“), über das die Steuerung aller infizierten Maschinen erfolge.
Dieser Aufbau biete mehrere Vorteile für die Cyber-Kriminellen. Zum Beispiel seien sie in der Lage, den Zugriff auf den befallenen Computer zu teilen, indem sie auf einen einzigen „Orcus Server“ zugriffen. So könne eine Gruppe von Cyber-Kriminellen besser zusammenarbeiten und ihre Opfernetzwerke verwalten. Diese seien auch problemlos skalierbar, indem mehrere „Orcus Server“ genutzt würden.

Vollständige Kontrolle über infizierte Computer

Der Entwickler habe nicht nur einen Controller-Build für „Windows“ erstellt, sondern auch eine „Android“-App für die Steuerung der infizierten Maschinen über ein „Android“-Gerät. Eine „Android“-App für die Controller-Komponente sei auch bei „Google Play“ verfügbar.
„Orcus“ weise mehrere Funktionen auf, die eine vollständige Kontrolle über die infizierten Computer ermöglichten, unter anderem: Keylogger, Screengrabs, Remote-Codeausführung, Webcam-Überwachung, Mikrofon-Recorder, Remote-Verwaltung, Passwort-Stealer, Denial of Service, VM-Erkennung und Infostealer.

Künftig mehr cyber-kriminelle Kampagnen zu erwarten

In Anbetracht der umfassenden Funktionen des Tool-Sets und der einfachen Skalierbarkeit sei der Erfolg von „Orcus“ keine Überraschung. So wachse seit dem Verkaufsstart Anfang 2016 die Nutzung und Akzeptanz des RAT unter Cyber-Kriminellen.
Angesichts der zunehmenden Beliebtheit sei es wahrscheinlich, dass künftig mehr cyber-kriminelle Kampagnen zu beobachten sein würden, bei denen „Orcus“ das Mittel der Wahl sei.

Als „Remote Administration Tool“ ausgegeben

Die hinter der Malware steckenden Akteure verkauften „Orcus“ über ein angeblich registriertes Unternehmen als „Remote Administration Tool“ und behaupteten, dass dieses Tool nur für legitime geschäftliche Nutzung ausgelegt sei.
Aufgrund der Funktionen, Architektur, Veröffentlichung und des Verkaufs in Hacker-Foren sei jedoch klar, so Palo Alto Networks, dass es „ein böswilliges Tool ist und dass die Zielgruppe Cyber-Kriminelle sind“.
Dies sei nicht ungewöhnlich, aber dennoch ein interessanter Fall: Entwickler, die den Code kostenlos oder als „Open Source“ veröffentlichen wollten, hätten sich an ein erfahrenes Hacker-Forum gewandt, woraus eine Zusammenarbeit und die Vermarktung eines kommerziellen RAT hervorgegangen sei. Im Falle von „Orcus“ gewinne dieses aufgrund seines breiten Funktionsumfangs und seiner flexiblen Architektur schnell an Akzeptanz in der cyber-kriminellen Szene.