Ein Sicherheitsforscher hat einen neuen Angriffsvektor in einer Spam-Mail-Kampagne entdeckt. Als Anhang wird eine CHM-Datei verteilt, die über die PowerShell einen Banking-Trojaner verteilt. Dieser zielt zwar auf brasilianische Banken, der Trojaner kann aber leicht ausgetauscht werden.
Anzeige
Die Information wurde von 'My name IS' unter @azsxdvfbg auf Twitter veröffentlicht.
CHM Exploit. New from brazilian criminals. Phish: https://t.co/TcCLraYbwP Sample: https://t.co/mnAiDH2fZB https://t.co/KszZnJp1NV pic.twitter.com/U2KNSteRVx
— My name Is (@azsxdvfbg) 2. Oktober 2017
Die als Spam verschickten E-Mails geben vor, von WhatsApp verschickt worden zu sein. In einem Link wird angegeben, dass sich dort ein Konversationsverlauf eines WhatsApp-Chats befinden soll. Als Betreff wird das Portugiesische "Conversa do WhatsApp com" oder ähnliches verwendet. Klickt der Benutzer auf den in der E-Mail enthalten Link, wird eine von einer brasilianischen IP-Adresse eine Zip-Datei mit dem Namen Whats_email [@ ]example.com.zip heruntergeladen. Im ZIP-Archiv befindet sich eine CHM-Datei mit einem Namen der Art Whats_email [@ ]example[dot]com[dot]chm.
Eine CHM-Datei ist eine compilierte Windows-Hilfedatei, die HTML-Texte enthält, zwischenzeitlich aber in Windows aus Sicherheitsgründen eigentlich nicht mehr unterstützt wird. Öffnet der Benutzer trotzdem die Hilfedatei, es handelt sich um eine modifizierte tcpip.chm mit einem eingebetteten OCX-Objekt, startet dieses einen PowerShell-Befehl. Der PowerShell-Befehl lädt dann den Trojaner herunter und installiert diesen.
Anzeige
Diese Technik ist nicht neu und wurde 2005 erstmals beschrieben. Ein Tutorial zur Verwendung des Pentesting-Tools Kautilya zur Erstellung dieser bösartigen CHM-Datei wird hier beschrieben. Die Verwendung von bösartigen CHM-Dateien kann eine funktionelle Methode zur Umgehung von AV-Software sein, da dieses bösartige CHM nur von 10/60 Anbietern auf VirusTotal erkannt wird. Weitere Details zu diesem Fall finden sich bei Bleeping Computer, die auch einige Screenshots vom Entdecker der Malware erhalten und publiziert haben.
Anzeige
Vielleicht hat deshalb im ersten Preview Rollup KB4038803 vom 19.09.2017 bei mir danach keine chm-Datei mehr funktioniert und MS hat das dann schnell umgestellt?
Vgl. hier:
http://www.borncity.com/blog/2017/09/20/windows-78-1-preview-rollups-september-2017/
Nun geht es problemlos.