Eine Variante der berüchtigten Dridex-Banking-Malware hat Apples macOS-Betriebssystem ins Visier genommen und dabei eine bisher nicht dokumentierte Infektionsmethode angewandt.
Sie hat „eine neue Technik angewandt, um mit bösartigen Makros versehene Dokumente an die Nutzer zu übermitteln, ohne sich als Rechnungen oder andere geschäftsbezogene Dateien auszugeben“, so Trend Micro-Forscher Armando Nathaniel Pedragoza in einem technischen Bericht.
Dridex, auch Bugat und Cridex genannt, ist ein Informationsdieb, der dafür bekannt ist, sensible Daten von infizierten Rechnern abzufangen und bösartige Module auszuliefern und auszuführen. Er wird einer E-Kriminalitätsgruppe namens Evil Corp (auch bekannt als Indrik Spider) zugeschrieben.
Die Malware wird auch als Nachfolger von Gameover Zeus angesehen, der wiederum ein Nachfolger eines anderen Banking-Trojaners namens Zeus ist. Frühere Dridex-Kampagnen, die auf Windows abzielten, nutzten makroaktivierte Microsoft Excel-Dokumente, die über Phishing-E-Mails verschickt wurden, um den Schadcode zu verbreiten.
Im Oktober 2015 wurde das Botnetz durch eine von Europa und den USA organisierte Operation der Strafverfolgungsbehörden zerschlagen und ein moldawischer Staatsbürger namens Andrey Ghinkul wurde wegen seiner Rolle als Administrator der Operation verhaftet. Im Dezember 2018 wurde Ghinkul von einem US-Bundesgericht zu einer Haftstrafe verurteilt, nachdem er im Februar 2016 ausgeliefert worden war.
Im Dezember 2019 verhängte das US-Finanzministerium Sanktionen gegen Evil Corp und setzte ein Kopfgeld in Höhe von 5 Millionen US-Dollar auf die beiden Hauptmitglieder Maksim Yakubets und Igor Turashev aus. Trotz dieser Maßnahmen hat sich Dridex weiterentwickelt und sich als eine widerstandsfähige Bedrohung erwiesen.
Trend Micros Analyse der Dridex-Samples umfasst eine ausführbare Mach-O-Datei, die früheste davon wurde im April 2019 an VirusTotal übermittelt. Seitdem wurden 67 weitere Artefakte in freier Wildbahn entdeckt, einige sogar erst im Dezember 2022.
Das Artefakt enthält ein bösartiges eingebettetes Dokument, das bereits 2015 entdeckt wurde und ein Auto-Open-Makro enthält, das beim Öffnen eines Word-Dokuments automatisch ausgeführt wird.
Darüber hinaus ist das Mach-O-Programm so konzipiert, dass es alle „.doc“-Dateien im aktuellen Benutzerverzeichnis (~/User/{Benutzername}) durchsucht und mit dem bösartigen Makrocode überschreibt, der aus dem eingebetteten Dokument in Form eines Hexadezimal-Dumps kopiert wurde.
„Obwohl die Makrofunktion in Microsoft Word standardmäßig deaktiviert ist, überschreibt die Malware alle Dokumentdateien des aktuellen Benutzers, einschließlich der sauberen Dateien“, erklärt Pedragoza. „Das macht es für den Benutzer schwieriger, festzustellen, ob die Datei bösartig ist, da sie nicht aus einer externen Quelle stammt.“
Die Makros, die in dem überschriebenen Dokument enthalten sind, sind so konstruiert, dass sie einen entfernten Server kontaktieren, um weitere Dateien abzurufen, darunter auch eine ausführbare Windows-Datei, die unter macOS nicht ausgeführt werden kann. Die Binärdatei wiederum versucht, den Dridex-Loader auf den angegriffenen Rechner herunterzuladen.
Obwohl Dokumente, die Makros mit Sprengfallen enthalten, in der Regel über Social-Engineering-Angriffe verbreitet werden, zeigen die Ergebnisse einmal mehr, dass Microsofts Entscheidung, Makros standardmäßig zu blockieren, Bedrohungsakteure dazu veranlasst hat, ihre Taktiken zu verfeinern und effizientere Methoden zum Eindringen zu finden.
„Derzeit sind die Auswirkungen dieser Dridex-Variante auf macOS-Nutzer gering, da die Nutzlast eine EXE-Datei ist (und daher nicht mit macOS-Umgebungen kompatibel ist)“, so Trend Micro. „Sie überschreibt jedoch immer noch Dokumentdateien, die nun die Träger der bösartigen Makros von Dridex sind.