{"id":194948,"date":"2017-10-09T00:12:00","date_gmt":"2017-10-08T22:12:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=194948"},"modified":"2022-03-26T19:53:20","modified_gmt":"2022-03-26T18:53:20","slug":"malware-kampagne-verteilt-banking-trojaner-per-chm-anhang","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/10\/09\/malware-kampagne-verteilt-banking-trojaner-per-chm-anhang\/","title":{"rendered":"Malware-Kampagne verteilt Banking-Trojaner per CHM-Anhang"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Ein Sicherheitsforscher hat einen neuen Angriffsvektor in einer Spam-Mail-Kampagne entdeckt. Als Anhang wird eine CHM-Datei verteilt, die \u00fcber die PowerShell einen Banking-Trojaner verteilt. Dieser zielt zwar auf brasilianische Banken, der Trojaner kann aber leicht ausgetauscht werden. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/f0cf11f508d64c3a82c9d64e50304757\" width=\"1\" height=\"1\"\/>Die Information wurde von 'My name IS' unter @azsxdvfbg auf Twitter ver\u00f6ffentlicht. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">CHM Exploit. New from brazilian criminals. Phish: <a href=\"https:\/\/t.co\/TcCLraYbwP\">https:\/\/t.co\/TcCLraYbwP<\/a> Sample: <a href=\"https:\/\/t.co\/mnAiDH2fZB\">https:\/\/t.co\/mnAiDH2fZB<\/a> <a href=\"https:\/\/t.co\/KszZnJp1NV\">https:\/\/t.co\/KszZnJp1NV<\/a> <a href=\"https:\/\/t.co\/U2KNSteRVx\">pic.twitter.com\/U2KNSteRVx<\/a><\/p>\n<p>\u2014 My name Is (@azsxdvfbg) 2. Oktober 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die als Spam verschickten E-Mails geben vor, von WhatsApp verschickt worden zu sein. In einem Link wird angegeben, dass sich dort ein Konversationsverlauf eines WhatsApp-Chats befinden soll. Als Betreff wird das Portugiesische \"Conversa do WhatsApp com\" oder \u00e4hnliches verwendet. Klickt der Benutzer auf den in der E-Mail enthalten Link, wird eine von einer brasilianischen IP-Adresse eine Zip-Datei mit dem Namen <em>Whats_email [@ ]example.com.zip<\/em> heruntergeladen. Im ZIP-Archiv befindet sich eine CHM-Datei mit einem Namen der Art <em>Whats_email [@ ]example[dot]com[dot]chm<\/em>. <\/p>\n<p>Eine CHM-Datei ist eine compilierte Windows-Hilfedatei, die HTML-Texte enth\u00e4lt, zwischenzeitlich aber in Windows aus Sicherheitsgr\u00fcnden eigentlich nicht mehr unterst\u00fctzt wird. \u00d6ffnet der Benutzer trotzdem die Hilfedatei, es handelt sich um eine modifizierte <em>tcpip.chm<\/em> mit einem eingebetteten OCX-Objekt, startet dieses einen PowerShell-Befehl. Der PowerShell-Befehl l\u00e4dt dann den Trojaner herunter und installiert diesen.<\/p>\n<p>Diese Technik ist nicht neu und wurde 2005 erstmals beschrieben. Ein Tutorial zur Verwendung des Pentesting-Tools Kautilya zur Erstellung dieser b\u00f6sartigen CHM-Datei wird <a href=\"https:\/\/github.com\/samratashok\/Kautilya\/blob\/master\/extras\/Out-CHM.ps1\" target=\"_blank\" rel=\"noopener\">hier<\/a> beschrieben. Die Verwendung von b\u00f6sartigen CHM-Dateien kann eine funktionelle Methode zur Umgehung von AV-Software sein, da dieses b\u00f6sartige CHM nur von 10\/60 Anbietern auf VirusTotal erkannt wird. Weitere Details zu diesem Fall finden sich <a href=\"https:\/\/web.archive.org\/web\/20171005201420\/https:\/\/www.bleepingcomputer.com\/news\/security\/malicious-chm-files-being-used-to-install-brazilian-banking-trojans\/\" target=\"_blank\" rel=\"noopener\">bei Bleeping Computer<\/a>, die auch einige Screenshots vom Entdecker der Malware erhalten und publiziert haben. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein Sicherheitsforscher hat einen neuen Angriffsvektor in einer Spam-Mail-Kampagne entdeckt. Als Anhang wird eine CHM-Datei verteilt, die \u00fcber die PowerShell einen Banking-Trojaner verteilt. Dieser zielt zwar auf brasilianische Banken, der Trojaner kann aber leicht ausgetauscht werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,1107],"class_list":["post-194948","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/194948","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=194948"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/194948\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=194948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=194948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=194948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}