Tarnkappen-Malware: Botnetzsteuerung per Webmail

Ein neuer Tarnkappen-Schadcode kann bekannte Webportale wie Yahoo und Gmail missbrauchen, um von dort Steuerbefehle zu erhalten. Warum ist der Trojaner IcoScript so besonders? Der Schädling nutzt eine eigene Skriptsprache, um sich automatisch mit einem Mail-Account zu verbinden. Dieser Account wurde von Hackern eingerichtet, um den infizierten Rechnern Befehle zu erteilen. Der Zugriff auf Webmailer wird in Unternehmensnetzwerken selten blockiert. So kann der Trojaner unbemerkt Befehle empfangen und ausführen. Die Sicherheitsexperten von G DATA haben den Schädling Win32.Trojan.IcoScript.A genannt. Die ausführliche Analyse wurde im Virus Bulletin Magazin veröffentlicht.

Trojaner befällt Windows-PCs

Der hinterlistige Schädling namens Win32.Trojan.IcoScript.A. treibt seit 2012 unentdeckt sein Unwesen. Der Trojaner, ein modular aufgebautes Fernsteuerungstool (engl. RAT; Remote Administration Tool), befällt Windows-PCs. Normalerweise injiziert sich Malware in die Prozesse von Anwendungen. Das wird von Antiviren-Software aber mittlerweile entdeckt. IcoScript hingegen missbraucht die Entwickler-Schnittstelle COM (Component Object Model), um sich in den Internet Explorer einzuklinken. Die COM-Schnittstelle ermöglicht es Entwicklern, u.a. Plugins für den Browser zu schreiben. Für Schadcode-Programmierer bietet diese Funktionalität einen Unterschlupf, um vom Anwender und dem Virenschutz unbemerkt den Browser zu kompromittieren. Danach sehen die Daten auf dem Rechner und im Netzwerk aus wie ganz normale Surfdaten. Die Malware-Autoren müssen sich auch nicht um die Netzwerkeinstellungen kümmern. Sie können so übernommen werden, wie sie im Browser eingestellt sind. „Diese variabel anpassbare Malware, die ihre Aktionen in reguläre Datenströme einnistet, stellt IT-Sicherheitsabteilungen und Abwehrsysteme vor große Schwierigkeiten“, meint Ralf Benzmüller, Leiter der G DATA SecurityLabs. „Der Schädling zeigt wieder einmal, wie gut Schadcode-Entwickler auf Abwehrmaßnahmen reagieren.“

IcoScript missbraucht Webmailer für Kommandofunktion

- Anzeige -

Dazu bedient sich IcoScript des Internet Explorers und missbraucht unter anderem Webmailer wie Yahoo für seine Kommando- und Kontrollfunktionen. Um die E-Mails aus dem präparierten Postfach abzuholen, wurde IcoScript mit einer eigenen Skriptsprache versehen, die es ermöglicht, automatisierte Aktionen auf den Webseiten der Webportale auszuführen. IcoScript.A öffnet dazu das Mailportal von Yahoo, loggt sich ein und ruft die Mails ab. Die Mails werden auf Steuercodes untersucht und als Befehle an das Schadprogramm weiter gegeben. Über die E-Mails können auch Daten aus dem Netzwerk versendet werden. „Diese Vorgehensweise ist nicht auf Yahoo beschränkt. Sie eignet sich für viele Webportale wie etwa Gmail, Outlook.com, web.de, aber auch LinkedIn, Facebook und andere soziale Netzwerke könnten so missbraucht werden” erläutert Ralf Benzmüller.

Virus Bulletin ist feste Größe in der AV-Industrie

Die Analyse wurde mit dem Titel „IcoScript: Using Webmail to control malware“ im britischen IT-Magazin Virus Bulletin veröffentlicht. „IcoScript ist ein sehr spezieller Schädling. Wir freuen uns über die Veröffentlichung des Artikels in diesem renommierten Fachmagazin und sehen das als Anerkennung unserer Forschungsarbeit. Virus Bulletin ist eine feste Größe in der Antiviren-Industrie und hat seit Jahren einen herausragend guten Ruf für seine unabhängigen und professionellen Informationen über Malware“, betont Ralf Benzmüller.