Im Frühling 2021 hat Denis Legezo von Securelist / Kaspersky eine neue Malware-Kampagne namens WildPressure genauer untersucht. Dabei entdeckte er mehrere neue Varianten » darunter eine auf Python basierende Malware « die sowie auf Windows als ebenfalls auf macOS lauffähig ist.
Ursprung von WildPressure: C++ basierte Malware Milum
Bereits im August 2019 entdeckte Kaspersky eine neue C++ basierte Malware namens Milum. Firmen aus dem Industriesektor im Mittleren Osten waren das Ziel dieser Schadsoftware. Diese Malware-Kampagne erhielt später den Namen WildPressure.
Es wurden lediglich drei verschiedene Dateisamples der Malware Milum gefunden was darauf hindeutet, dass es sich um sehr gezielte Angriffe gehandelt haben muss. Das Erstellungsdatum der Dateien war im März 2019 und es wurden keine Infektionen vor dem 31. Mai 2019 entdeckt.
Die Angreifer nutzten Server von OVH und Netzbetrieb VPS als Backend und die Domains wurden über Domains by Proxy verschleiert.
WildPressure: Pythonvariante genau ähnlich wie Milum
Die neue Malware namens Guard weist extreme Parallelen zu Milum auf und setzt auf das gleiche Grunddesign und auch auf einen ähnlichen Codingstil. Guard verwendet das von Milum bekannte C2 Protokoll.
Das Hauptziel von Guard scheint es zu sein, Firmen aus der Öl- und Gasindustrie zu kompromittieren. Interessanterweise enthält der Programmcode des Trojaners spezielle Routinen für macOS die prüfen, ob Guard bereits aktiv ist. Dadurch ist klar; dass auch Rechner mit Apples Betriebssystem befallen werden sollen.
Tandis basiert auf VBScript
Neben den bereits bekannten Varianten Milum (C++) und Guard (Python) wurde eine weitere Variante der Malware auf Basis von VBScript gefunden. Auch hier nutzt sie das C2 Kommunikationsprotokoll ebenso wie bei den bereits bekannten Ausführungen.
Orchestrator: Plugin-basierte C++ Malware
Weiterhin analysierte Legezo eine weitere auf C++ basierte Malware namens Orchestrator die mit Plugins erweitert werden kann. Es gibt beispielsweise ein Fingerprinting-Plugin, welches dazu dienen könnte, ein System sehr ebendies zu identifizieren. Weitere Beispiele sind ein Keylogger oder eine Erweiterung für Screenshots.
Auch hier besteht eine starke Ähnlichkeit im Codingstil und Grundaufbau, weshalb Orchestrator höchstwahrscheinlich vom gleichen Entwickler stammt.
Reverse Engineering von WildPressure
Auf dem YouTube-Kanal von Kaspersky Tech zeigt Denis Legezo wie er die Malware in ihre Bestandteile zerlegt und analysiert.
Erkennung von WildPressure
Selbst im Umgang mit Apple-Geräten muss nicht zwingend eine kostenpflichtige Software zum Einsatz kommen. Auf macOS kann das kostenlose Open Source-Tool Block von Objective-See beispielsweise die Aktivitäten des Schädlings erkennen.
Kommentare