Trojaner: Blackhole

Heute kam der Trojaner Blackhole in einem neuen Gewand.

From: HamzaKiewiet@t-arend.de
To: <thomas@t-arend.de>
Subject: Re: Changelog New
Date: Fri, 30 Nov 2012 11:01:32 +0100
Good morning,

changelog update – View

I. LENTZ

Die Obfuskierung ist nun etwas „komplexer“. Etwa jedes 8te Zeichen ist ein „=“. Dieses und das nachfolgende Zeichen werden ignoriert. Die aus zwei Zeichen bestehende Zahl wird nun auch durch drei geteilt. Damit müsste ich meine Deobfuskierung anpassen, aber dazu habe ich heute keine Lust.

Blackhole: Tarnt sich als Scan to E-Mail

Heute war nach Tagen der Ruhe eine Trojanisches Pferd des Blackhole Exploit Kit unterwegs. Der angeblich eingescannte Text ist eine HTML-Seite HP-Officejet-05569.htm, die direkt auf eine Landing Page umleitet.

Und so sieht die Mail grundsätzlich aus.

„Blackhole: Tarnt sich als Scan to E-Mail“ weiterlesen

How to deobfuscate Blackhole Java-Script

This article describes my investigations of the Java-Script obfuscation currently used by the Blackhole Exploit Kit. My intend was to write some smal scripts to automatically deobfuscate the Java-Script without using Java-Script itself. Using Java-Script with a little help would be an easy task because you only have to identify the point where the „eval“-fucntion is called and repalce it with an alert- or document-write function. My intend was to fully automate the deobfuscation to used it by an mail-scanner or a proxy-server.

I an former article I investigated the LinkedIn Spam and showed an example of a landing page assure_numb_engineers.php I downloaded from the server. Thanks to the daily spam and some web-sites listing the active servers I could get my hand on some more landing pages. Most of them looked like the example below.

In the next few paragraphs I will explain how the decoding and encoding works and develop explain a solution for decoding without deciphering the javascripts of a certain class.

„How to deobfuscate Blackhole Java-Script“ weiterlesen

Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)

Achtung: Maus weg vom Anhang!

Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)
Sceenshot einer angeblichen UPS Mail.
Text: Dear Bank Operator,WIRE TRANSFER: FEDW-…STATUS: REJECTED You can find details in the attached file.(Internet Explorer format)

Diesmal kommt ein Trojaner in einem neuem Gewand mit einem HTML-Anhang. Dieser enthält ein verschleiertes Script, das auf eine Web-Seite umleitet. Von dieser wird wiederum eine Datei heruntergeladen, die wiederum ein verschleiertes Script enthält und nach der Dekodierung den Rechner auf Schwachstellen prüft. Letzteres Script trägt die Bezeichnung version:“0.7.8″,name:“PluginDetect“ in seinem Quellcode. Damit gehört dieser Trojaner Script zum Blackhole Exploit Kit wie auch die Spams zu YouTube und LinkedIn.
„Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)“ weiterlesen

SPAM: Blackhole – Google Service has sent you a message: Welcome to the TOP of YouTube Users Rating

Ganz bestimmt nicht! Nicht an diese Adresse! Diese Mail Adresse ist auf Verdacht erzeugt. Diese Adresse wurde geraten.

Google Service has sent you a message: Welcome to the TOP of YouTube Users Rating
Google Service has sent you a message: Welcome to the TOP of YouTube Users Rating

Die Spam Mail gehört dem ersten Anschein nach zum gleichen Typus wie die angebliche LinkedIn Invitation, hinter der das Blackhole Exploit Kit steht, wie ich seit gestern weiß.

Während die erste Stufe der Umleitung noch funktioniert, meldet der nächste Server Fehler 504: Gateway Time-Out. Dies kann bei anderen Mail anders sein.

Schade, ich hatte gehofft, noch eine Stufe weiter zu kommen. Abwarten, es kommen sicher noch mehr.

SPAM: LinkedIn Invitaion

In diesem Artikel folge ich einer Verweiskette auf kompromittierte Server zu den Ursprüngen. Und analysiere die ersten Schritte eines verschleierten JavaScript, mit dem wahrscheinlich der Angriff erfolgt.

Screen Shot LinkedIn Invitation
Hi .. , User sent you an invitation to connect 6 days ago. How would you like to respond?

In den letzten 24 Stunden habe ich zwei Mails mit LinkedIn Einladungen erhalten. Eine hatte den Titel Invitation, die andere New Invitation. SPAM oder HAM war keine Frage, da die Mails an eine Mailinator-Adresse gingen, an die ausschließlich SPAM gesendet wird. Die Links in dem Mails verwiesen auf insgesamt vier kompromittierte Server.

Die Mail hat keine Anhänge, wenn ich vom HTML-Teil absehe. Alle Links in der Mail verschleiern ihr wahres Ziel und haben die Form http://xyz.example.com/YHgGL6/index.html. [1] Der Payload dieser Spam-Mail muss also außerhalb der Mail liegen. Diese Adressen sind nicht das eigentliche Ziel, wie ein kurzer Test zeigt. Sie führen nur eine Stufe näher an die Schadsoftware. Steigen wir in diesem Artikel ein paar Stufen mit – hinauf oder hinunter ist egal.
„SPAM: LinkedIn Invitaion“ weiterlesen

  1. [1]Den wirklichen Name der Server habe ich diesmal durch xyz.example.com ersetzt. Dabei treten auch IP-Adressen auf, für die ich beispielhaft die Adresse 192.168.6.66 genommen habe.