Cyberkriminelle nutzen Antiviren-Webdienst VirusTotal, um Schadcode zu verfeinern
Nach Erkenntnissen eines Sicherheitsforschers nutzen Virus-Entwickler seit Jahren Googles Webdienst, um ihren Code an Antiviren-Programmen vorbeizuschmuggeln. Eigentlich ist VirusTotal darauf ausgelegt, den Opfern zu helfen.
- Fabian A. Scherschel
Ein Sicherheitsforscher hat über Jahre hinweg untersucht, wie Malware-Entwickler ihre Viren und Trojaner selbst beim Dienst VirusTotal hochladen, um diese zu verbessern. VirusTotal ist ein kostenloser Service, der es Nutzern ermöglicht, Dateien einzureichen, die mit Malware infiziert sein könnten. Der Dienst scannt diese dann mit mehreren Antiviren-Engines und meldet die Ergebnisse an den Nutzer. Der Dienst wurde 2012 von Google übernommen.
Für zahlende Kunden bietet VirusTotal ein Webinterface, mit dem Forscher die Daten des Dienstes durchsuchen können. So kann man zum Beispiel herausfinden, wer welchen Schadcode von wo auf der Welt hochgeladen hat. Viele dieser Informationen können auch per Programm über eine API extrahiert werden. Der Forscher nutzte diese Informationen, um Opfer von Malware, Mitarbeiter von Sicherheitsfirmen und Schadcode-Schreiber an Hand ihres Verhaltens voneinander zu trennen und Daten über ihre Gewohnheiten zu sammeln.
So identifizierte er nach eigenen Angaben Hackergruppen wie die chinesischen Regierungshacker der Gruppe APT1 (auch bekannt als Spezialeinheit 61398) und die Drahtzieher der gut organisierten Phishing-Kampagne NetTraveler. APT1 nutzt VirusTotal nach seinen Erkenntnissen seit mindestens 2012, die Angreifer von NetTraveler seit 2009.
Die Gauner ändern wohl gezielt Teile ihres Schadcodes, um bestimmte Antiviren-Programme auszutricksen, höchstwahrscheinlich weil sie wissen, dass diese bei ihrem jeweiligen Ziel im Einsatz sind. Dabei versuchen sie gegenüber VirusTotal ihre Identität so gut wie möglich zu verschleiern und tauschen den Kontrollcode ihrer Software gegen Platzhalter aus, um ihre Command-and-Control-Server nicht preiszugeben. (fab)