Kürzlich hat die Forschergruppe des AhnLab Security Intelligence Center (ASEC) eine neue Malware-Kampagne (WikiLoader) entdeckt, die den beliebten Texteditor Notepad++ betrifft. Die Angreifer gaben sich große Mühe, die Datei mit der bösartigen Nutzlast so zu tarnen, dass sie wie eine Datei aus dem Installationspaket der Anwendung aussah.
Die verwendete Technik ist das bekannte „DLL- Hijacking “ und betrifft insbesondere das Standard-Plugin „mimeTools.dll“ (das zur Durchführung der Base64-Kodierung und anderer Aufgaben verwendet wird). Da dieses Modul beim Programmstart automatisch geladen wird, nutzten die Angreifer diesen Umstand aus, um es zu modifizieren und die Schadsoftware zu aktivieren.
Angriffsfluss
Zunächst fügten die Angreifer dem Installationspaket bösartigen Shellcode hinzu, der als harmloses Zertifikat „Certificate.pem“ getarnt war. Diese modifizierten eine der Funktionen von mimeTools.dll namens „DllEntryPoint.dll“ und ermöglichten so das Laden, Entschlüsseln und Ausführen der getarnten Datei. Im folgenden Bild sehen Sie den Dateivergleich zwischen den offiziellen und bösartigen Installationspaketen:
Der bösartige Shellcode verändert die Datei „BingMaps.dll“, genauer gesagt wird der Code der Funktion „GetBingMapsFactory()“ dadurch überschrieben. An diesem Punkt wird ein Ausführungsfluss erstellt, der es dem Angreifer ermöglicht, einen Ausführungsthread in die Anwendung „explorer.exe“ einzuschleusen. Dies garantiert die Beständigkeit des Angriffs und macht ihn schwieriger zu erkennen.
Wenn die Malware ausgeführt wird, stellt sie eine Verbindung zu einem Command and Control (C2) her, an das sie die von der Maschine gesammelten Daten sendet (Maschinenname, Benutzername, wenn der Benutzer Mitglied der Administratorengruppe ist, Sprache und Systemzeit). Nach der Verbindung mit C2 (die sich als Wordpress-Anmeldeseite ausgibt) wird eine Nutzlast heruntergeladen, die jedoch leer ist.
Abschluss
Die Gruppe von Angreifern hat das Ziel, einen Zugangspunkt auf dem Computer des Opfers einzurichten, und nutzt dazu ein von Benutzern weit verbreitetes Tool wie Notepad++. WikiLoader stellt ein erhebliches Datenschutzrisiko dar, da es Informationen über das infizierte System sammelt. Wir bei Zerolynx empfehlen, einige Richtlinien zu befolgen, um die Sicherheit Ihrer Systeme zu gewährleisten:
• Laden Sie Anwendungen immer von offiziellen und zuverlässigen Quellen herunter.
• Aktualisieren Sie Anwendungen und Systeme regelmäßig mit der neuesten Version, die Patches enthält.
*Alle Fotos stammen von der offiziellen ASEC-Website. Klicken Sie auf den folgenden Link , wenn Sie mehr über diese Sicherheitslücke erfahren möchten.
Javier Muñoz , Cybersicherheitsanalyst bei Zerolynx .
