Die Bedrohung durch gefälschte Bußgeldbescheide im Namen der Brandenburger Polizei (Hornetsecurity berichtete) hält weiterhin an. Zwei in der Betrugs-E-Mail platzierte Links leiten den Empfänger auf eine beinahe exakte Kopie der Website der Brandenburger Polizei weiter. Nach dem Ausfüllen eines Captcha wird ein zip-Archiv (Bezeichnung: 11611.zip) auf dem Computer des Benutzers heruntergeladen, welches ein Visual Basic Skript (RTCTV_78943_CAM.vbs) enthält. Worum es sich bei dem Skript handelt und was beim Ausführen der schadhaften Datei geschieht, fanden nun die Sicherheitsexperten von Hornetsecurity in einer tiefgehenden Analyse heraus.
Zur Analyse werden unter anderem Tools wie Procmon, ProcDOT und Regshot herangezogen.

Nach dem Ausführen des Skripts wird das von Microsoft entwickelte „BITSAdmin Tool“ gestartet, welches unter anderem für Down- und Uploads von Daten genutzt wird. Durch das Tool wird automatisch eine Verbindung zu der IP-Adresse 85.227.68.140 aufgebaut. Mittels GeoLocation konnte diese in Finnland lokalisiert werden. Nach dem Verbindungsaufbau mit der genannten IP Adresse werden zwei Dateien heruntergeladen:

1. Der Download der Datei „generated_ilxp.pdf“ erfolgt von 185.227.68.140/data/doc11 und wird lokal auf dem betroffenen Rechner unter C:/Users//AppData/Local/generated_ilxp.pdf gespeichert.

Analyse des schadhaften Skripts der „Bad Cop“-Masche

Die Dateiendung lässt auf ein gängiges PDF Dokument schließen, jedoch handelt es sich lediglich um eine Datendatei. Eine genaue Spezifikation der Datei konnte bisher noch nicht ermittelt werden, welche Funktionen hinter dem Programm stecken, wurde auch während der Analyse nicht ersichtlich. Beim Check der Datei im Online-Analyse-Portal Virus Total wurde das noch undefinierte Programm von keinem Antivirenprogramm erkannt.

Mögliches Szenario: Die Datei könnte von den Cyberkriminellen erst einmal nur im System platziert worden sein, ohne eine Funktion auszuführen. Zu einem späteren Zeitpunkt könnte das Programm dann für bestimmte Zwecke aktiviert und infizierte Rechner missbraucht werden (zum Beispiel zum Erzeugen eines Botnets oder den Versand von Spam-Mails).

2. Darüber hinaus erfolgt der Download einer Shellcode-Datei mit der Bezeichnung „xpzhhwjl.exe“ von 185.227.68.140/data/sd8392.

Analyse des schadhaften Skripts der „Bad Cop“-Masche

Diese wird abgelegt unter dem Pfad C:/Users//AppData/Local/xpzhhwjl.exe und infiziert so das System. Die Malware wurde laut VirusTotal bislang von rund 26 Antivirenprogrammen erkannt. Nach der lokalen Installation wird eine Konfigurationsdatei erzeugt (C:/Users//AppData/Local/xpzhhwjl.ini). Der ausführbare Schadcode enthält mehrere Funktionsaufrufe, welche verschiedene Einstellungen auslesen.

Analyse des schadhaften Skripts der „Bad Cop“-Masche

In diesem Fall werden unter anderem die Einstellungen des Internet Explorers durch das Skript analysiert, um einen möglichen Proxy (wie einen Webfilter) zu deaktivieren. Bei Unternehmen werden oftmals im Sinne der IT-Sicherheit für Online-Aktivitäten der Mitarbeiter übergreifende Gruppenrichtlinien erstellt (Benutzer XY darf keine Makros ausführen). Auch diese könnten durch die Malware stillgelegt werden. Zusätzlich könnte das Schadprogramm einen Massenversand von Spam-E-Mails auslösen. Daraufhin deutet die Funktionsangabe „CreateMailslotW“.

Analyse des schadhaften Skripts der „Bad Cop“-Masche
Mögliches Szenario: Neben dem Versand von Spam-E-Mails und der Deaktivierung von Proxys, könnte das Schadprogramm zum Kopieren und Ausspionieren sensibler Dateien und Dokumente sowie interner Unternehmensvorgänge im System platziert werden.

Bislang klassifizierten die Antivirenprogramme, die die Shellcode-Datei entdeckten, die Schadsoftware als den bekannten Banking-Trojaner Emotet oder die Crpyto-Malware Razy. Um welchen Virus es sich jedoch genau handelt, lässt sich noch nicht genau bestimmen – dass es sich aber um eine ernst zu nehmende Cyberbedrohung handelt konnte das Hornetsecurity Security Lab mittels der Analyse klar herausstellen.