Botnetzbetreiber nutzen Dropbox als toten Briefkasten

Eine vermutlich aus China stammende APT-Gruppe (Advanced Persistent Threat) nutzt eine Programmierschnittstelle (API) von Dropbox, um Dateien auf infizierten Computern auszuführen und herunter- und hochzuladen. Zudem können die Angreifer über diesen Weg weitere Malware an Computer im Botnetz verteilen. Das haben Sicherheitsforscher von Fireeye herausgefunden. Dropbox soll bereits Gegenmaßnahmen eingeleitet haben.

Bei den Übergriffen im August dieses Jahres habe es die APT-Gruppe auf Medienorganisationen in China abgesehen. Für den Missbrauch des Cloudspeichers Dropbox zeichnet den Sicherheitsforschern zufolge die Lowball-Malware verantwortlich. Diese sollen die Botnetzbetreiber in Phishing-E-Mails in Form einer manipulierten Word-Datei versteckt haben.

Microsoft Office als Einfallstor

Damit sich Lowball in Systeme schleichen kann, setzen die Malware-Entwickler auf eine Sicherheitslücke aus dem Jahr 2012 (CVE-2012-0158) in Microsoft Office, erläutert Fireeye. Hat sich die Malware eingenistet, soll sie den Dropbox-Account der APT-Gruppe kontaktieren und eine API des Cloudspeichers ansprechen.

Über eine auf infizierten Computern ausgeführten Batch-Datei können die Botnetzbetreiber dann den Kryptologen zufolge Daten abziehen. Die Kommunikation finde dabei verschlüsselt via HTTPS statt.

Weitere Malware nachschieben

Sind die abgezogenen Informationen interessant, verankern die Online-Kriminellen die Hintertür Bubblewarp in infizierten Systemen. So können sie weitere Informationen abziehen und Bubblewarp über Plug-ins mit neuen Funktionen ausstatten, berichtet Fireeye.

Command-and-Control-Server sind die Dreh- und Angelpunkte in einem Botnetzwerk. Können Ermittler den Standpunkt ausfindig machen, sind in der Regel auch die Drahtzieher gefasst und das Botnetz ist gesprengt. Das wollen die Betreiber natürlich vermeiden. In der Vergangenheit haben sie versucht, die Spurensuche etwa über Proxys zu erschweren. Der Dreh mit Dropbox als toter Briefkasten ist neu. (des)