Palo Alto Networks liefert neue Erkenntnisse zu Keylogger-Malwarefamilie KeyBase

palo alto networks headquarters entry

Unit 42, die Forschungsabteilung von Palo Alto Networks, hat in den letzten Monaten die Aktivitäten der Keylogger-Malwarefamilie „KeyBase“ verfolgt, die seit Februar 2015 in Umlauf ist. Keylogger nisten sich im System ihres Opfers ein und erfassen die Tastatureingaben. Die Malware ist mit einer Vielzahl von Funktionen ausgestattet und kann für 50 US-Dollar direkt vom Autor bezogen werden. Sie wurde von Cyberkriminellen bereits für Angriffe auf Unternehmen in vielen Branchen eingesetzt und wird überwiegend über Phishing-E-Mails ausgeliefert.

AutoFocus, der Bedrohungserkennungsdienst von Palo Alto Networks, hat bereits 295 unterschiedliche Samples von KeyBase identifiziert. Seit Februar 2015 wurden rund 1.500 Sitzungen, in denen KeyBase enthalten war, von Palo Alto Networks erfasst. Die Angriffe richteten sich in erster Linie gezielt auf die High-Tech-Branche, Hochschulen und den Einzelhandel. Betroffen waren Unternehmen und Institutionen rund um den Globus in vielen Ländern.

KeyBase wurde erstmals Mitte Februar 2015 beobachtet, kurz bevor die Domain „keybase.in“ als Homepage und Online-Shop für den Keylogger KeyBase registriert wurde. Zudem wurden in dem Beitrag eines Nutzers im Hackforums.net-Forum einzelne Features von KeyBase beworben. Die Stichpunkte lauteten: „Fortschrittlicher Keylogger“, „vollständig unentdeckte Scan- und Laufzeit (später entfernt)“, „benutzerfreundliche Web-Oberfläche“, „Unicode-Unterstützung“ und „Passwort-Wiederherstellung“.

Die Malware wird in erster Linie über Phishing-Mails ausgeliefert, die ähnliche Dateien nutzen, um Benutzer in die Falle zu locken. Imitiert werden Dateien zu Bestellungs- und Zahlungsvorgängen, mit den entsprechenden englischen Bezeichnungen (Purchase Order.exe, New Order.exe, Document 27895.scr, Payment document.exe, PO #7478.exe, Overdue Invoices.exe)

KeyBase selbst ist in C# mit dem .NET Framework geschrieben. Diese Tatsache erlaubte es Unit 42 den zugrunde liegenden Code zu de-kompilieren und die wichtigsten Funktionen und Eigenschaften des Keyloggers zu identifizieren. Persistenz wird in KeyBase mit Hilfe von zwei Techniken erzielt: Entweder wird die Malware in den Autostart-Ordner kopiert oder die Run Registry wird so eingestellt, dass KeyBase bei jedem Systemstart ebenfalls startet. Wenn KeyBase sich in den Autostart-Ordner kopiert, gibt es sich selbst den Namen „Important.exe“. Dies ist statisch durch den Autor festgelegt und kann in der aktuellen Version nicht vom Benutzer geändert werden. Das Keylogging selbst erfolgt in einer separaten Klasse namens „KeyHook“.

Insgesamt hat Unit 42 eine große Anzahl von separaten Kampagnen mit KeyBase beobachtet. Da die Software leicht von jedermann erworben werden kann, ist dies nicht überraschend. So wurden rund 50 verschiedene Command- and Control (C2)-Server mit bis zu 50 verschiedenen Samples entdeckt, die sich mit einem einzelnen C2 verbinden.

Generell ist die KeyBase-Malware aber nicht besonders ausgeklügelt. Es fehlt eine Reihe von Funktionen, die in einigen der beliebtesten Malwarefamilien enthalten ist. Die C2-Web-Oberfläche enthält Sicherheitslücken, durch die ein Dritter unberechtigten Zugriff erlangen könnte. Der Autor von KeyBase bietet immerhin eine einfach zu bedienende, benutzerfreundliche Oberfläche. Eine Reihe von Optionen ist in der Malware hartcodiert.

Obwohl diese Malware sich nicht durch besondere Raffinesse hervorhebt, hat Unit 42 einen signifikanten und anhaltenden Anstieg bei der Nutzung von KeyBase beobachtet. Kunden von Palo Alto Networks sind geschützt durch den Abo-Dienst WildFire, der in der Lage ist, KeyBase als bösartig zu erkennen.