Vor kurzem haben Forensiker von BlueVoyant in Brasilien einen neuen, technisch anspruchsvollen Banking-Trojaner aufgespürt: Maverick. In seiner Angriffstechnik stellt dieser seine älteren Vorgänger, wie etwa Coyote, in den Schatten. So nutzt er WhatsApp als primäres Einfallstor, ist modular aufgebaut und in der Lage, seine Payloads in mehreren Stufen herunterzuladen und zu installieren, was seine Entdeckung und Beseitigung erheblich erschwert.

Ein Angriff beginnt stets damit, dass Opfer eine ZIP-Datei erhalten – per WhatsApp. Diese enthält eine als Verknüpfung (.lnk) getarnte Datei, die beim Öffnen eine PowerShell-Routine startet. Diese lädt dann ein .NET-basiertes Installationsprogramm (STAGE 1 Downloader) nach, das dann wiederum weitere Schadmodule aus dem Internet herunterlädt. Der mehrstufige Aufbau sorgt dafür, dass die eigentliche Schadsoftware nicht auf einmal, sondern in mehreren Schritten heruntergeladen wird — eine Technik, die ihre Erkennung, Analyse – und Beseitigung – erheblich erschwert.

Die Forensiker von BlueVoyant stellten fest, dass Maverick aus zwei Hauptmodulen besteht, die über den Installer verteilt und aktiviert werden: ein Modul zur Selbstverbreitung über WhatsApp und ein Banking-Modul für gezielte Finanzangriffe. Der Code von Maverick ähnelt dem des älteren Banking-Trojaners Coyote. Doch haben eingehende Analysen des Forensik-Teams von BlueVoyant ergeben, dass die Angreifer das Tool deutlich weiterentwickelt haben:

• der Installer wurde vollständig überarbeitet, der Installationsvorgang mehrstufig aufgeteilt
• der Schadcode wurde stark obfuskiert, was seine Aufspürung und Analyse komplizierter gestaltet
• die Module basieren nun auf einer neu erstellten .NET-Struktur und werden dynamisch nachgeladen
• die Kampagne nutzt mehrere kürzlich registrierte Domains, die eigens zur Bereitstellung von Installer, Modulen und Konfigurationsdateien eingerichtet wurden. Einige dieser Domains wurden bereits sehr kurz nach ihrer Registrierung aktiv eingesetzt — ein Hinweis auf die professionelle Umsetzung der Kampagne

Banken sollten Maßnahmen ergreifen, mit denen sich die verräterischen Aktivitäten der Angriffskette frühzeitig aufdecken lassen. Die BlueVoyant-Experten raten:

• klare BYOD- und Messaging-Richtlinien zu erstellen und durchzusetzen. Mitarbeiter müssen darauf hingewiesen werden, unaufgefordert erhaltenen ZIP-Dateien zu misstrauen – selbst, wenn sie von bekannten (Whatsapp-)Kontakten stammen
• die Ausführung von .lnk-Anhängen aus Messaging-Plattformen zu beschränken oder gleich ganz zu verhindern; PowerShell sollte gesichert und überwacht werden
• auf verschleierte BAT-Startdateien und ungewöhnliche Registrierungs- oder Startpersistenz zu achten
• EDR zu nutzen, um Inmemory .NET CLR-Hostings und Shellcode-Injections zu erkennen
• Netzwerkschutzmaßnahmen so einzurichten, dass sie den Datenverkehr zur identifizierten feindlichen Infrastruktur blockieren oder kennzeichnen und nach anomalen benutzerdefinierten Headern suchen

Die Sicherheitsexperten von BlueVoyant werden die Kampagne weiter beobachten. Sie empfehlen, die TTP-Erkennung stets auf dem neuesten Stand zu halten, da der Akteur die Infrastruktur und die Loader-Authentifizierung immer wieder ändert. Sicherheitsteams von Banken, nicht nur brasilianischen, sollten diese Hinweise beherzigen und möglichst rasch in ihre Sicherheitsarchitektur integrieren.