Mispadu, auch bekannt als Ursa, ist eine Remote-Overlay-Finanzmalware, die Banken in spanisch- und portugiesischsprachigen Ländern wie Mexiko, Kolumbien, Argentinien, Chile, Portugal, Spanien und anderen ins Visier nimmt. Einfach ausgedrückt, handelt es sich bei Remote-Overlay-Malware um ein bösartiges Programm, das das System des Opfers kontrolliert, indem es dessen Maus und Tastatur steuert, während der Betrüger den Live-Bildschirm des Opfers sieht.
Mispadu erschien erstmals 2019 und hatte 2022 einen erneuten Auftritt. Wie seine Gegenstücke Mekotio und Grandoreiro ist Mispadu in der Programmiersprache Delphi geschrieben. Im Gegensatz zu ihnen war sie in freier Wildbahn weniger verbreitet, bis vor kurzem neue Kampagnen in mehreren zentralamerikanischen, lateinamerikanischen und europäischen Ländern beobachtet wurden. Weitere Informationen über Mekotio finden Sie in unserem vorherigen Blogbeitrag – Mekotio Banking Trojan Targeting Latin America.
Mit der Wiederaufnahme des Geschäftsbetriebs von Mispadu gab es mehrere Änderungen im Betrieb, darunter die Kodierung der Befehls- und Kontrollkommunikation (C2C), die wir in diesem Artikel erkunden werden.
Als Fernüberlagerung ist die Kommunikation der Malware mit ihrem Betreiber entscheidend für einen erfolgreichen Angriff. Diese Kommunikation besteht in der Regel aus einer Reihe von operativen Befehlen, die vom Betrüger an das bösartige Programm übertragen werden, das auf dem System des Opfers läuft.
Viele Overlay-Angriffe, wie z. B. der Diebstahl des Geldes des Opfers über das Bankkonto, werden ausgeführt, während der Betrüger die Live-Sitzungen des Opfers beobachtet und kontrolliert.
Es mag intuitiv erscheinen, dass die Kommunikation mit dem Betrüger unmittelbar nach der Ausführung des schädlichen Programms durch den Benutzer erfolgt, dies ist jedoch nicht der Fall. Eine solche Kommunikation birgt ein erhebliches Risiko für den Betrüger, da sie Warnmeldungen von Antivirenprogrammen auslösen könnte.
In unserem Szenario und in den meisten Fällen mit anderen entfernten Überlagerungen wird die Kommunikation erst initiiert, nachdem der Nutzer eines der Ziele der Malware besucht hat, insbesondere auf den Internetseiten spanischer oder portugiesischsprachiger Banken in Ländern.
Wenn der Benutzer auf eine der Ziellisten der Malware zugreift, wird eine Verbindung zum C2C-Server hergestellt. Dies wird mithilfe der WIN32 Socket-APIs erreicht, die die bequemste Methode für eine solche Kommunikation darstellen.
Vor der Einrichtung des Sockets füllt die Malware die Informationen des Sockets aus, einschließlich des Zielports und der Zieladresse.
Sobald der Socket verbunden ist, wird die Nachricht „GFHHMG..“ an den C2C-Server gesendet.
Nachdem der Socket angeschlossen und der Beacon an den C2C-Server gesendet wurde, wartet die Malware auf Eingaben vom C2C-Server. Nach dem Empfang wird die Nachricht je nach Reihenfolge der empfangenen Nachricht von einer der folgenden „Lese“-Funktionen verarbeitet:
Diese Funktionen ähneln einander und dienen dazu, die vom C2C empfangenen Nachrichten zu analysieren.
Schauen wir uns die erste Funktion „ TwYHJk1_wC51Read“ genauer an:
Sobald die Malware eine Nachricht vom C2C erhält, parst sie sie, indem sie die Nachricht entschlüsselt und dann mit einer Zeichenkette vergleicht, die einen Befehl darstellt. In der ersten „read“-Funktion, wie im Codeausschnitt zu sehen, ist der erste verglichene Befehl „<|SocketMain|>“. Bei den anderen „Lese“-Funktionen sind die verglichenen Befehle unterschiedlich.
Beachten Sie die Funktion an der Adresse 0x7364A8.
Diese Funktion ist verantwortlich für die Entschlüsselung der gesamten Nachricht. Sie empfängt eine Zeichenkette und gibt nach mehreren mathematischen Manipulationen eine dekodierte Zeichenkette zurück.
Schauen wir uns diese Funktion an und entdecken ihren Algorithmus.
Die Verschlüsselung der Kommunikation dient dazu, die Absichten und Vorgehensweisen des Betrügers zu verschleiern. Dies kann mit bereits vorhandenen oder individuell erstellten Kommunikationsalgorithmen erreicht werden. Wie wir bereits gezeigt haben, scheint die Nachricht „GFHHV..“ eine verschlüsselte Nachricht zu sein, was aufgrund ihrer scheinbar zufälligen und bedeutungslosen Natur den Verdacht einer Verschlüsselung erweckt.
Bei der Untersuchung der Dekodierungsfunktion der C2C-Kommunikation können wir feststellen, dass die Implementierung des Dekodierungsmechanismus unkompliziert ist und dem Zweck dient, vom C2C-Server empfangene Nachrichten zu dekodieren. Derselbe Mechanismus wird auch zur Verschlüsselung von Nachrichten verwendet, die an den C2C-Server gesendet werden.
Nehmen wir das obige Beispiel, das wir dekodieren möchten. „GFHHVGCGEFUGAFOFUGCFMFXHVFJ@“
Lassen Sie uns den Dekodierungsprozess in folgende Schritte unterteilen:
Schritt 1: Nehmen Sie das erste Zeichen („G“ GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) und wandeln Sie es in ASCII um. Er hat einen Wert von 71. Von diesem Wert ziehen Sie 65 (den ASCII-Wert von „A“) ab. Das Ergebnis ist 6.
6 ist unser wiederholender Wert während des Dekodierungsprozesses, auf den wir später zurückkommen.
Schritt 2: Nehmen Sie das nächste Zeichen („F“ GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) und konvertieren Sie es in ASCII. Er hat einen Wert von 70. Subtrahieren Sie 65 (ASCII-Wert von „A“).
Das Ergebnis ist 5.
Nehmen wir es als Variable X an.
Die beiden Zeilen des Assembler-Codes können mit der folgenden Gleichung dargestellt werden:
(X + 4X) + (X + 4X)*4 => 25X = 25*5 = 125
Schritt 3: Nehmen Sie das nächste Zeichen („H“ GFHHVGCGEFUGAFOFUGCFMFXHVFJ), ASCII-Wert: 72. Subtrahieren Sie den ASCII-Wert „A“: Ergebnis 7.
Addieren Sie zu diesem Wert das Ergebnis des vorherigen Schritts. 125 + 7 = 132.
Von diesem Wert subtrahiert man zwei Werte – einen konstanten Wert von 66 („B“) und den Wert aus Schritt 1. 132 – 66 – 6 = 60. In ASCII „<“. Das ist das erste Zeichen unserer dekodierten Zeichenfolge.
Schritt 4: Wiederhole Schritt 2 + Schritt 3 erneut mit dem nächsten Zeichenpaar („H“ & „V“ GFHHVG..), wobeidie dekodierte Zeichenkette durch Anhängen des jeweils nächsten dekodierten Zeichens aufgebaut wird.
Schritt 5: „ @“ steht für das Ende der Zeichenkette GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
Nun können wir das Ergebnis der Dekodierung des kodierten Textes ausgeben: <|PRINCIPAL|>
Diese Zeichenkette stellt das erste Kommunikationssignal dar, das von der Malware an den C2C-Server gesendet wird.
Eine Folge dieser Kodierungs- und Dekodierungsmethodik ist, dass unterschiedliche kodierte Zeichen dasselbe dekodierte Zeichen ergeben können.
Beispielsweise werden die Zeichen GGC und AFV beide dem gleichen Zeichen P zugeordnet.
Ein weiteres Beispiel für ein komplizierteres Szenario. Apropos Strings – sowohl „GFHHVGCGEFUGAFOFUGCFMFXHVFJ“ als auch „AFBHPFVFXFOFTFIFOFVFGFRHPFD“ würden auf denselben Klartext dekodiert werden.
Einer der Vorteile solcher Kodierungs- und Dekodierungsalgorithmen ist, dass, wenn das Netzwerk überwacht wird, es fast unmöglich ist, die Funktionsweise der Malware zu verstehen, ohne den Dekodierungsalgorithmus zu erhalten. Dies liegt an der Vielzahl der Codierungsoptionen für die einzelnen Befehle, die dazu führen, dass der von der Malware ausgeführte Betriebsmodus für den Netzwerkmonitor jedes Mal anders erscheint.
Sobald der Befehl dekodiert ist, ist der weitere Ablauf für das Beispiel recht einfach. Jeder Befehl verfügt über eine eigene Funktion, die es dem Betrüger ermöglicht, verschiedene Aufgaben auf dem System des Opfers auszuführen, einschließlich Bildschirmüberwachung, Maus- und Tastatursteuerung und vieles mehr.
Lassen Sie uns die in der Malware implementierten Befehle näher untersuchen, die es dem Betrüger ermöglichen, verschiedene Aufgaben auf dem System des Opfers auszuführen.
Beim Aufbau der Kommunikation sendet die Malware ein Beacon mit der Bezeichnung„ <|PRINCIPAL|>“ an den C2C-Server, um den Aufbau des Netzwerks zu melden.
Sobald dieser erste Schritt abgeschlossen ist, erlangt der Betrüger umfassende Kontrolle über das System des Opfers und ist in der Lage, eine Vielzahl von Aufgaben auszuführen. Ein entscheidender Befehl ist die Gewinnung wertvoller Systeminformationen. Dies wird durch den Befehl „<|Info|>“ erleichtert, mit dem grundlegende Details über das System des Opfers exportiert werden. Diese Details umfassen die Windows-Version, den geografischen Standort, den aktuell aktiven Browser und die aktuell angezeigte Webseite. Hier ist eine beispielhafte Antwort der Malware auf diesen Befehl, die an den C2C-Server zurückgesendet wurde:
„<|Info|>Win 10<|>Bank x<|>Chrome<|>16:04:12 PM<<"
Diese Antwort zeigt an, dass auf dem System des Opfers Windows 10 läuft, Chrome verwendet wird und derzeit eine Webseite von Bank x um 4:04:12 PM angezeigt wird.
Diese Informationen werden aus verschiedenen Gründen gestohlen. Die Kenntnis des Betriebssystems des Geräts des Opfers kann den Prozess der Kompromittierung seines Systems mit zusätzlichen Schadprogrammen erleichtern, da jedes Programm möglicherweise unterschiedliche Systemversionen unterstützt. Die Kenntnis der Zielseite der Bank des Opfers kann dem Betrüger zudem helfen, einen erfolgreichen Angriff durchzuführen.
Remote-Overlay-Angriffe gehören heute zu den häufigsten Bedrohungen für die Bankkonten der Nutzer und stellen erhebliche Risiken für Banken und deren Kunden dar. Ein kritischer Aspekt dieser Angriffe betrifft die Kommunikation der Malware mit ihren Betreibern, die integraler Bestandteil ihrer operativen Methodik ist. Der Aufbau einer direkten Live-Kommunikation ist für die Durchführung solcher Angriffe unerlässlich. Durch die Verschlüsselung dieser Kommunikation will die Malware es schwieriger machen, den Prozess rückgängig zu machen und einen weiteren Ziegelstein in ihre Verteidigungsmauer zu setzen. Als Experten für Cybersicherheit ist es unser Hauptziel, diese Kommunikationen zu überwachen, zu analysieren und zu blockieren, um die erfolgreiche Durchführung betrügerischer Aktivitäten zu verhindern.
Zum eigenen Schutz sollten Benutzer regelmäßig ihre installierten Anwendungen überprüfen und unbekannte oder verdächtige Anwendungen umgehend entfernen.
Darüber hinaus ist es wichtig, E-Mail-Konten auf ungewöhnliche Aktivitäten wie unerwartete Anmeldeversuche zu überwachen und Kryptowährungs-Wallets im Hinblick auf unautorisierte Transaktionen oder unbekannte Aktionen genau im Auge zu behalten. Proaktives und vorsichtiges Handeln kann dazu beitragen, die Risiken dieses sich wandelnden Angriffsmusters zu mindern.
