Zusammenfassung
Am 07.07.2020 hat Mozilla seinen Dienst Firefox Send wegen Missbrauchs durch Malware vorübergehend deaktiviert. Das Security Lab von Hornetsecurity erklärt, wie Malware Firefox Send missbraucht hat. Zu diesem Zweck wird eine Malspam-Kampagne analysiert, die eine Variante der Malware Ursnif verbreitet. Die Kampagne benutzte den Dienst Firefox Send, um ihren bösartigen Downloader zu hosten und den Opfern diese bösartigen Firefox Send-Links zu senden. Solcher Missbrauch veranlasste Mozilla dazu, den Firefox-Send-Dienst zu deaktivieren, da dem Dienst derzeit eine Funktion zur Meldung von Missbrauch fehlt. Das heißt, selbst wenn Sicherheitsforscher diese bösartigen Links gefunden haben, könnten sie Mozilla nicht gemeldet werden, um sie abzuschalten. Unsere Analyse zeigt jedoch weiter, dass Malware bereits andere Dienste missbraucht, so dass die Deaktivierung von Firefox Send – obwohl es die richtige Entscheidung war – keine Auswirkungen auf Malware-Kampagnen hat.
Hintergrund
Am 07.07.2020 hat Mozilla seinen Dienst Firefox Send wegen Missbrauchs durch Malware vorübergehend deaktiviert. Dies geschah hauptsächlich, weil der Dienst keine Möglichkeit bietet, Missbrauch zu melden. Mozilla wird den Dienst wahrscheinlich wieder aktivieren, sobald die „Arbeit an Produktverbesserungen“ abgeschlossen ist, wie in der Nachricht angegeben, die derzeit angezeigt wird, wenn versucht wird, die Webseite von Firefox Send zu erreichen:
Um zu erklären, warum Mozilla den Dienst vorübergehend deaktiviert hat, analysierte das Hornetsecurity Security Lab eine Malspam-Kampagne, die eine Ursnif-Malware-Variante verbreitet.
Analyse
Die Kampagne verwendet eine Mischung aus Link- und Attachment-Malspam, der eine VBScript-Datei verbreitet, die die Malware Ursnif herunterlädt. Die Kampagne nutzt das Hijacking von bestehenden E-Mail-Unterhaltungen, d.h. die hinter dem Angriff stehenden Akteure senden ihre Malware als Antwort auf die bestehenden E-Mail-Konversationen ihrer Opfer. Ein Beispiel für eine E-Mail, die den Firefox Send-Dienst als Host für die bösartige Nutzlast verwendet, sieht wie folgt aus:
Die zensierten Teile enthalten einen gestohlenen E-Mail-Konversationsstrang, auf den die Kampagne mit ihrem bösartigen Link und einer kurzen Nachricht antwortet. Die Nachrichten geben in der Regel an, dass ein Dokument aktualisiert wurde und über den Firefox Send-Link heruntergeladen werden kann. Wie gut die bösartige Nachricht in den gekaperten E-Mail-Konversationsstrang passt, scheint vom Zufall abzuhängen, d.h. die Nachrichten verweisen auf aktualisierte Dokumente, unabhängig davon, worum es in dem Konversationsstrang wirklich geht.
Der Firefox Send-Link führt zu einer VBScript-Datei. Die VBScript-Datei lädt eine Ursnif-Variante herunter, die höchstwahrscheinlich aus einer anderen Ursnif-Variante namens ISFB entwickelt wurde, für die der Quellcode öffentlich zugänglich ist.
Dann beschloss Mozilla am 2020-07-07-07, Firefox Send vorübergehend zu deaktivieren, da der Dienst keinen Mechanismus zur Meldung von Missbrauch enthält. Das bedeutet, dass die Download-Links von Sicherheitsforschern nicht an Mozilla gemeldet werden können. Eine Missbrauchsmeldungsfunktion ist für einen Online-Dienst wichtig, zumal die auf die Privatsphäre ausgerichtete Natur von Firefox Send viele Möglichkeiten für Missbrauch bietet. Zum Beispiel können die Links durch ein Passwort geschützt werden. Die Anzahl der Downloads sowie die Dauer der Verfügbarkeit des Downloads können eingeschränkt werden:
Das bedeutet, dass ein Angreifer die Anzahl der Downloads für seine Opfer auf einen beschränken kann. Im Falle einer erfolgreichen Kompromittierung kann ein Incident Response Team die ursprüngliche Malware-Payload nicht mehr herunterladen, um die Infektion zu rekonstruieren. Wenn die Malware nach der Infektion ihre Dateien löscht, ist ein solcher Angriff schwer nachzuvollziehen.
Ein weiteres Problem ergibt sich bei der legitimen Nutzung des Dienstes und Sicherheitssoftware, die solche einmaligen Download-Links scannt. Wenn die Sicherheitssoftware die Datei herunterlädt, um sie zu scannen, kann der tatsächliche Empfänger die Datei nicht mehr herunterladen, da die Sicherheitssoftware bereits den einen verfügbaren Download verwendet hat.
Aus diesen Gründen wird Firefox Send nach seiner Rückkehr höchstwahrscheinlich weiterhin missbraucht werden. Die Missbrauchsmeldefunktion wird vor allem nützlich sein, um Links zu melden, die mehrere Downloads erlauben und über einen längeren Zeitraum genutzt werden. Die Meldung einmaliger Download-Links könnte Mozilla bei der Eindämmung des Missbrauchs helfen, indem es Muster in der Art und Weise aufdeckt, wie die Akteure hinter dem Missbrauch mit ihrem Dienst interagieren, und sie dann blockiert.
Aber selbst wenn Firefox Send einen besseren Schutz gegen Missbrauch implementieren sollte, hängt die diskutierte Malspam-Kampagne überhaupt nicht von Firefox Send ab. Die Kampagne nutzte den Firefox-Send Dienst ab dem 01.06.2020 (Übergang von der Verwendung von Google Drive-Links) bis zu dem Tag, an dem er deaktiviert wurde:
Die Kampagne hat jedoch Google Drive- und Dropbox-Links vor der Verwendung von Firefox Send Links verwendet. Sie verwendete auch verschlüsselte ZIP-Anhänge anstelle von Download-Links, und sobald der Firefox-Sendedienst deaktiviert wurde, wechselte sie zu einem solchen verschlüsselten ZIP-Anhänge-Schema:
Sowohl Google Drive als auch Dropbox erlauben Missbrauchsmeldungen, sie werden jedoch weiterhin von Malware missbraucht. Das bedeutet, wenn Firefox Send zurückkommt, wird es auch wieder missbraucht.
Schlussfolgerung und Gegenmaßnahme
Während wir Mozilla dafür loben, dass sie den Firefox-Sende-Dienst vorübergehend deaktiviert haben, bis eine Missbrauchsmeldungs-Funktion implementiert ist, zeigt die Analyse der diskutierten Malspam-Kampagne, dass der Firefox Send-Dienst nur einer von vielen Diensten ist, der für die Verbreitung von Malware missbraucht wird, und das Hinzufügen der Missbrauchsmeldungs-Funktion wird diesen Missbrauch nicht stoppen.
Zum Schutz vor solchen Angriffen, insbesondere dem skizzierten E-Mail-Konversations-Thread-Hijacking, sollten Benutzer besonders vorsichtig sein, wenn sie eine nicht stimmige Antwort von einem Gesprächspartner erhalten, der versucht, sie zum Öffnen von Links oder anderen Dokumenten zu verleiten, die entweder direkt an die E-Mail angehängt oder über einen Datei-Hosting-Dienst gesendet werden, insbesondere wenn solche Dokumente nicht in die Konversation passen und/oder über einen ungewöhnlichen Mechanismus zugestellt werden.
Hornetsecurity’s Spam and Malware Protection, mit den höchsten Erkennungsraten auf dem Markt, erkennt und blockiert bereits alle Varianten der skizzierten E-Mails, die derzeit die Malware-Variante Ursnif verbreiten. Auch hier ist es wichtig, dass sich die Benutzer nicht von dem skizzierten E-Mail-Konversations-Thread-Hijacking täuschen lassen. Hornetsecurity’s Advanced Threat Protection erweitert diesen Schutz, indem es auch noch unbekannte Bedrohungen erkennt. Bei Verwendung der Hornetsecurity E-Mail Encryption ist ein Dienst von Drittanbietern wie Firefox Send zur Verschlüsselung gesendeter Dokumente nicht erforderlich. Ausgehende E-Mails werden automatisch mit einer der gängigen Verschlüsselungstechnologien (PGP, S/MIME oder TLS) verschlüsselt, je nach eingestellter Richtlinie und Verfügbarkeit der entsprechenden Zertifikate, ohne weiteren Benutzereingriff.
