Papier Für Den Personalausweis

In diesem Beitrag stellen wir unsere Analysen zu den neuen Banking-Trojanern in Lateinamerika vor. Wir beschreiben typische Charakterzüge der Banking-Malware und erläutern einige Funktionsweisen von Amavaldo.

Rapid ID - Tubes and Oxygen Systems (Horizontal)
Rapid ID – Tubes and Oxygen Systems (Horizontal)

Gegen Ende des Jahres 2017 beschlossen Forschende des ESET Malware-Labors in Prag, sich eingehender mit berüchtigten Banking-Trojanern zu beschäftigen. Es geht dabei um diejenigen, die vorrangig auf Brasilien abzielen und in der Delphi-Programmiersprache geschrieben sind.

Die Banking-Trojaner richten sich ebenso gegen andere Länder Lateinamerikas. Deshalb rückten im Verlauf der Malware-Analyse auch Mexiko und Chile stärker in den Fokus der ESET-Forscher. Ihr Hauptziel bestand in der Klassifizierung der Banken-Trojaner und darin, mehr über das Verhalten der Schadsoftware zu erfahren.

Insgesamt haben wir aus den gewonnenen Informationen viel Neues lernen können. Es wurden mehr als zehn neue Malware-Familien entdeckt. Man konnte deren Verbreitungsmechanismus aufdecken und zeigen, wie sie mit anderen Malware-Varianten verknüpft sind. Außerdem konnten innere Verhaltensweisen der Banking-Trojaner dargestellt werden.

Dieser Beitrag beginnt zunächst damit, die auf Lateinamerika abzielenden Banking-Trojaner im Allgemeinen zu beschreiben, und setzt sich dann fort mit der Vorstellung von Amavaldo – der neu entdeckten Malware-Familie.

An dieser Stelle möchten wir noch einmal kurz zusammenfassen, welche Charakteristiken diesen Typ Banken-Trojaner auszeichnet:

Während der Forschungen sind wir auf Gemeinsamkeiten gestoßen. Die meisten von uns analysierten Banking-Trojaner stellen eine Verbindung zu einem C&C-Server her und warten auf vom Server gesendete Befehle. Nach dem Erhalt eines Befehls wird dieser ausgeführt und auf den nächsten gewartet. Die Kommandos werden wahrscheinlich manuell vom Cyber-Angreifer übermittelt.

Die C&C-Server-Adresse ist das am meisten gehütete Geheimnis der Malware-Entwickler. Wir haben mehrere unterschiedliche Ansätze entdeckt, diese zu tarnen und zu verstecken.

Daneben gibt es für jedes Malware-Opfer eine einzigartige URL, die den Cyber-Angreifern bei der Identifizierung hilft.

Banking-Trojaner aus Lateinamerika nutzen wenig bekannte Verschlüsselungsalgorithmen. Unterschiedliche Malware-Familien verwenden allerdings dieselben. Wir fanden ein Buch und eine Delphi Freeware Library, wovon die Malware-Entwickler möglicherweise inspiriert waren.

Die in Delphi geschriebene Malware induziert, dass die Executable-Dateien mindestens einige Megabyte groß sind. Das ist deshalb der Fall, da der Delphi Core in jeder Binary verankert ist. Zusätzlich bringen die lateinamerikanischen Banking-Trojaner oft eine Vielzahl an weiteren Ressourcen mit sich, wodurch die Dateigröße weiter steigt.
Wir sahen Samples mit mehreren Hundert Megabyte Speichergröße. In diesen Fällen setzen die Malware-Entwickler die Dateigröße allerdings künstlich herauf, um der Erkennung durch Anti-Virenprogrammen auszuweichen.

Die Analyse einer Executable zeigt normale schnell, ob es sich um einen böswilligen Banking-Trojaner handelt. Die Malware-Entwickler neigen dazu, ihre Schadprogramme ganz oder teilweise von einander zu kopieren. Deshalb ähneln sich die Banken-Trojaner aus Lateinamerika alle ein bisschen. Das ist auch der Grund, warum meistens nur typische Malware-Erkennungen stattfinden.

Unsere Forschung zu den Banken-Trojanern begann zunächst mit der Untersuchung ausgeprägter Merkmale. Über die Zeit entdeckten wir auf diese Weise über zehn neue Malware-Familien. Neben anderen Code-Ähnlichkeiten überprüften wir beispielsweise, welche Zeichenfolgen gespeichert und wie die C&C-Server-Adresse erhalten wurden.

Die einfachste Verbreitung des Banking-Trojaners erfolgt über einen einzigen Downloader (Windows Executable). Dieser tarnt sich als legitimer Software-Installer. Die Methode ist simpel, dennoch eher selten anzutreffen.

Office ID Card Design PSD | Badge design | Tarjetas de ...
Office ID Card Design PSD | Badge design | Tarjetas de …

Viel häufiger besteht die Verteilung der Malware aus mehreren Stufen. Dabei kommen mehrere Downloader zum Einsatz, die in JavaScript, PowerShell und Visual Basic Script (VBS) geschrieben sind. Mindestens drei Stufen enthält der typische Verbreitungsmechanismus. Die finale Payload wird meist als ZIP-Archiv ausgebracht. Darin enthalten ist der Banken-Trojaner allein oder dieser und zusätzliche Komponenten. Für Malware-Entwickler hat diese Verbreitung den Vorteil, dass es für Malware-Researcher sehr schwierig ist, die am Ende der Kette stehende Payload (bspw. Banken-Trojaner) zu analysieren. Allerdings haben es Anti-Virenprogramme deutlich einfacher die Bedrohung aufzuhalten, da nur ein Kettenglied des Verbreitungsmechanismus gestoppt werden muss.

Im Gegensatz zu den meisten Banken-Trojaner vertrauen die auf Lateinamerika abzielenden nicht auf Web-Injections, sondern auf eine Form von Social Engineering. Kontinuierlich wird der Desktop des Opfers nach aktiven Fenstern geprüft. Sobald ein Desktop-Fenster in Verbindung mit Banking steht, startet der Cyber-Angriff.

Der Zweck des Angriffs besteht fast immer darin, den User davon zu überzeugen, dass besondere, dringende und notwendige Maßnahmen erforderlich durchzuführen sind. Das kann ein Update der Banking-App sein, die Verifizierung der Kreditkarten-Daten oder Online-Konten-Zugangsdaten. Das Opfer soll die Informationen in ein Popup eingeben (wie beispielsweise in Abb. 1) oder eine Bildschirm-Tastatur dient als Keylogger (Abb. 2). Gleich nach der Eingabe landen die vertraulichen Informationen bei den Angreifern.

Abbildung 1: Fake-Popup stiehlt sensible Daten. (Übersetzung: Anti Intrusion Tool. Ihre Sicherheit hat oberste Priorität. Bitte geben Sie Ihre Signatur ein)

Abbildung 2: Virtuelle Tastatur fungiert als Keylogger. (Übersetzung: Card Passwort: Geben Sie Ihr Kartenkennwort ein, indem Sie auf die nebenstehenden Schaltflächen klicken)

Wir nannten die Malware-Familie, die im Rest dieses Blog-Beitrags beschrieben wird, Amavaldo. Diese Art befindet sich noch in der aktiven Entwicklung – die von uns neuste beobachtete Version ist 10.7 und trägt den Kompilierungszeitstempel vom 10. Juni 2019.

Das ist ein Beispiel für die modulare Malware, deren endgültiges Payload-ZIP-Archiv drei Komponenten enthält:

Abbildung 3 zeigt den Inhalt eines Sample-ZIP-Archivs der Amavaldo-Payload:

Abbildung 3: Amavaldo-Komponenten entpackt. (Die Komponenten sind: ctfmon.exe (legitime Anwendung), MsCtfMonitor (verschlüsselter Banking-Trojaner), MsCtfMonitor.dll (Injektor).)

Der Downloader speichert den gesamten ZIP-Archiv-Inhalt auf der Festplatte im selben Ordner. Der Name des Injektors (MsCtfMonitor.dll) wurde so gewählt, dass er mit dem einer DLL übereinstimmt, die von der mitgelieferten, legitimen Anwendung verwendet wird. Vor dem Beenden des Downloaders, führt dieser das legitime Programm aus. Es folgt:

Neben dem modularen Aufbau zeichnet die Schadsoftware vor allem die benutzerdefinierte Verschlüsselungsmethode für die Zeichenketten-Verschleierung aus (Abb. 4). Man erkennt den Schlüssel (grün) und die verschlüsselten Daten (blau) sowie die rot gekennzeichneten Strings, die nichts weiter als Datenmüll sind. In Abb. 5 ist vereinfachter Pseudocode dargestellt, um die Logik des Algorithmus hervorzuheben. Die String-Handling-Routine wird vom Banking-Trojaner selbst, dem Injektor und sogar vom Downloader verwendet. Im Gegensatz zu vielen anderen auf Lateinamerika abzielenden Bank-Trojanern scheint diese Routine nicht von dem zuvor erwähnten Buch weiter oben inspiriert zu sein.

Abbildung 4: Zeichenketten-Verschleierung in Amavaldo

Abbildung 5: Amavaldo-String-Entschlüsselungspseudocode. Dieser Algorithmus scheint nicht von dem zuvor erwähnten Buch inspiriert zu sein.

R-Button-ID-book-Consular-ID-cards-11 | Keyline
R-Button-ID-book-Consular-ID-cards-11 | Keyline

Darüber hinaus können die neuesten Versionen der Familie via Mutex identifiziert werden, der den offenbar konstanten Namen {D7F8FEDF-D9A0-4335-A619-D3BB3EEAEDDB} trägt.

Amavaldo sammelt zunächst einmal Informationen über das kompromittierte Opfer:

Die neueren Versionen kommunizieren über SecureBridge, eine Delphi-Bibliothek, die SSH / SSL-Verbindungen herstellt.

Wie bei vielen anderen derartigen Banking-Trojanern unterstützt Amavaldo mehrere Backdoor-Befehle. Der Funktionsbereich umfasst:

Amavaldo verwendet eine clevere Technik, die der Windows-Benutzerkontensteuerung ähnelt. Nach dem Erkennen eines Desktop-Fensters mit Online-Banking-Bezug wird ein Screenshot des Desktops erstellt und setzt diesen als neues Hintergrundbild. Anschließend wird ein Fake Popup-Fenster eingeblendet, das auf dem Text des aktiven Fensters basierend ausgewählt wird. Gleichzeitig deaktiviert die Malware mehrere Hotkeys und das Opfer wird daran gehindert, mit etwas anderem als dem Popup-Fenster zu interagieren.

Als wir zum ersten Mal auf diese Malware stießen, waren nur brasilianische Banken betroffen. Aber seit April 2019 hat man es auch auf Kunden von mexikanischen Banken abgesehen. Zwar sind die brasilianischen Banken nach wie vor unter den Zielen zu finden, allerdings visierten die Malware-Entwickler nun vermehrt Mexiko an.

Wir entdeckten zwei Verbreitungsmechanismen – einen am Anfang dieses Jahres und den anderen im April.

Die Verteilung von Amavaldo in Brasilien enttarnten wir das erste Mal im Januar 2019. Die Malware-Entwickler entschieden sich damals, die Banking-Trojaner mithilfe eines MSI-Installationsprogramms, VBS, XSL und PowerShell zu verbreiten.

Alles beginnt damit, dass das MSI-Installationsprogramm den Adobe Acrobat Reader DC auf dem PC des Opfers installieren möchte. Dazu werden zwei legitime Programmdateien verwendet: AICustAct.dll (zum Prüfen, ob Verbindung zum Internet besteht) und VmDetect.exe (zum Aufspüren von Virtuellen Maschinen).

Abbildung 6: Fehlermeldungen: links, wenn Virtuelle Maschine aufgespürt – rechts, wenn keine Internetverbindung besteht.

Nachdem der Installer ausgeführt wurde, greift er auf eine eingebettete Datei zu, die neben Strings auch einen gepackten VBS Downloader beinhaltet (Abb. 7). Nach dem Entpacken (Abb. 8) wird ein weiterer VBS Downloader aus dem Internet heruntergeladen (Abb. 9). Dieser macht sich Microsofts Windows WMIC.exe zunutze, um im nächsten Schritt ein XSL Script zu laden. Dieses enthält ein verschlüsseltes PowerShell Script (Abb. 9). Im letzten Schritt ist das PowerShell Script dafür zuständig, dass die eigentliche Payload bezogen wird (Abb. 11). Dabei handelt es sich um ein ZIP-Archiv, bestehend aus mehreren Files – abgebildet in Tabelle 1. In dieser Stufe sichert sich der Banking-Trojaner zudem Persistenz auf dem PC des Opfers, in dem eine Task namens GoogleBol geplant wird.

Abbildung 7: Erste Stufe: in einem MSI-Installer gepackter VBS Downloader (rot eingerahmt).

Abbildung 8: Ergebnis nach der ersten Stufe.

False identity card used by Walter Karliner while in hiding ...
False identity card used by Walter Karliner while in hiding …

Abbildung 9: Ergebnis nach der zweiten Stufe. WMIC.exe wird zur Vorbereitung der nächsten Stufe missbraucht.

Abbildung 10: Ergebnis der dritten Stufe: Ein großes XSL Script, das wiederum ein PowerShell Script enthält.

Abbildung 11: Vierte und letzte Stufe: Verschleiertes PowerShell Script lädt die eigentliche Payload herunter und führt diese aus.

Tabelle 1: Inhalt der Payload-ZIP mit Beschreibung

Es gibt jeweils zwei Payloads und Injectors. Beide werden auf dieselbe Art ausgeführt, wie zuvor beschrieben. Die NvSmartMax.dll führt Amavaldo aus. Die libcurl.dll steht in keinem unmittelbaren Zusammenhang mit Amavaldo, da diese ein Tool ausführt, das zum automatischen Registrieren einer großen Anzahl neuer E-Mail-Konten mithilfe der E-Mail-Plattform Brasil Online (BOL) verwendet wird. Die daraus hervorgehenden E-Mail Login-Informationen werden den Cyber-Angreifern zugesendet. Wir befürchten, dass diese in einer späteren Spam-Kampagne zum Einsatz kommen.

Die von uns zuletzt beobachtete Verteilungsmethode leitet ein ähnlicher MSI-Installer ein. Der Unterschied liegt dieses Mal allerdings in der eingebetteten Windows Executable Datei, welche den Downloader bereitstellt. Die Installation schließt mit einer Fehlermeldung (Abb. 12), kurz nach der Ausführung des Downloaders. Die Persistenz wird wie im ersten Beispiel erreicht. Dieses Mal lautet die geplante Task lediglich Adobe Acrobat TaskB (Abb. 13) und nicht GoogleBol. Abschließend werden alle Amavaldo-Komponenten heruntergeladen (ohne E-Mail-Tool) und der Banking-Trojaner gestartet.

Abbildung 12: Die vom Installer eingeblendete Fake Fehlermeldung.

Abbildung 13: Die vom Downloader erstellte geplante Task.

Wir gehen davon aus, dass Unternehmen durch Spam-Kampagnen diesem Verbreitungsmechanismus zum Opfer fallen. Mitarbeiter bekommen E-Mails mit Anhängen namens CurriculumVitae[…].msi oder FotosPost[…].msi. Die potenziellen Opfer sollen auf die Masche hereinfallen und glauben, jemand hätte wirklich seinen Lebenslauf per E-Mail geschickt. Und da es sich auf den ersten Blick um PDFs handelt, ist die nachgelagerte Installation des Adobe Acrobat Reader DC auch zunächst einmal nichts Ungewöhnliches.

Die Malware-Entwickler entschieden sich für den Gebrauch des URL-Shortener Services bit.ly. Das gibt uns zusätzliche Informationen über die Malware-Kampagne (Abb. 14 & Abb. 15). Wir erkennen, dass die überwiegende Mehrheit der Betroffenen aus Mexiko stammt und die meisten Klicks von E-Mails aus getätigt wurden.

Abbildung 14: bit.ly-Statistiken zur kürzlich stattgefundenen Amavaldo-Kampagne gegen Mexiko (1)

Abbildung 15: bit.ly-Statistiken zur kürzlich stattgefundenen Amavaldo-Kampagne gegen Mexiko (2)

In diesem Beitrag haben wir unsere Analysen zu den neuen Banking-Trojaner in Lateinamerika vorgestellt. Wir beschrieben typische Charakterzüge der Banking-Malware und erläuterten einige Funktionsweisen.

For any inquiries, contact us as Media Indicators of Compromise can also be found on our GitHub.

False identification card issued in name of Stanislawa ...
False identification card issued in name of Stanislawa …

Papier Für Den Personalausweis – paper used for id card

Delightful for you to my personal blog, with this occasion I am going to show you about keyword. And from now on, this can be a initial impression:

1111-1111 Gold PVC ID Card with 11/11" HICO Magnetic Stripe (11/pkg)
1111-1111 Gold PVC ID Card with 11/11″ HICO Magnetic Stripe (11/pkg)

Why not consider image earlier mentioned? can be in which wonderful???. if you feel therefore, I’l t demonstrate several picture yet again below:

So, if you like to receive the fantastic photos related to (Papier Für Den Personalausweis), simply click save button to download these shots to your personal pc. They are ready for down load, if you like and wish to take it, simply click save badge in the post, and it’ll be immediately saved in your notebook computer.} Finally if you need to secure new and the latest picture related to (Papier Für Den Personalausweis), please follow us on google plus or save this blog, we try our best to present you daily up grade with fresh and new pictures. Hope you enjoy keeping right here. For some up-dates and latest information about (Papier Für Den Personalausweis) pics, please kindly follow us on tweets, path, Instagram and google plus, or you mark this page on bookmark section, We attempt to offer you up-date periodically with fresh and new images, love your searching, and find the best for you.

Thanks for visiting our website, articleabove (Papier Für Den Personalausweis) published .  At this time we are pleased to declare that we have discovered an awfullyinteresting nicheto be pointed out, namely (Papier Für Den Personalausweis) Many people searching for info about(Papier Für Den Personalausweis) and of course one of these is you, is not it?

Veridos launches new color image technology - Veridos ...
Veridos launches new color image technology – Veridos …
Amazon.com: Vipeco 11pcs RFID Smart Entrance Guard Card ...
Amazon.com: Vipeco 11pcs RFID Smart Entrance Guard Card …
ACORD 11 WM Auto Insurance ID Cards
ACORD 11 WM Auto Insurance ID Cards
Amazon.com : Pack of 11 Premium Graphic Quality Composite 11 ...
Amazon.com : Pack of 11 Premium Graphic Quality Composite 11 …
Amazon.com : Blank Plastic Card Inkjet PVC Card Double ...
Amazon.com : Blank Plastic Card Inkjet PVC Card Double …