Das ThreatLabZ-Team von Zscaler beobachtet derzeit in Hacking-Foren die zunehmende Popularität eines multifunktionalen Trojaners namens „M00nD3V Logger“. Neben der Protokollierung von Tastatureingaben ist der M00nD3V Logger in der Lage, vertrauliche Informationen wie Browser-Passwörter, FTP-Client-Passwörter, E-Mail-Client-Passwörter, DynDNS-Zugangsdaten und JDownloader-Zugangsdaten zu stehlen.
Er kann darüber hinaus auf die Webcam und Zwischenablage zugreifen. Zum einzigartigen Funktionsumfang des Loggers zählen darüber hinaus ein Botkiller, ein Antiviren-Software-Killer, Kommunikation über SMTP/FTP/Proxy, Herunterladen zusätzlicher Plugins und das BouncyCastle-Kryptopaket.
Der M00nD3V Logger wird per Spam-E-Mail oder über eine kompromittierte Website zugestellt, die die Payload auf dem Rechner des Opfers ablegt. Ein Beispiel für eine solche Spam-E-Mail gibt beispielsweise vor, von „Hyundai Heavy Industries Co., Ltd“ zu stammen und ein Gebot für ein Projekt für Qatargas abzugeben. Im Zip-Anhang dieser Spam-E-Mail werden die schädlichen Dateien transportiert.
Um der Erkennung zu entgehen, verschleiert die Malware ihre Aktivität, indem sie sich mit einem Windows-Prozess vermischt, so dass die Antiviren-Software auf dem Endgerät keinen Alarm schlägt. Die verschlüsselte Payload wird mit Hilfe von Multibyte XOR-Dekodierung entpackt, wobei sie null Bytes im XOR-Key benutzt.
Bevor der M00nD3V Logger mit dem Sammeln von Information beginnt, wird die Konfiguration vorbereitet. In dieser Phase erfolgt unter anderem die Überprüfung auf Anti-Debugger, Botkiller und Antivirus-Killer. Die Malware bricht dabei die Installation ab, wenn SbieDll.dll, Wireshark oder Winsock Packet Editor erkannt werden.
Um der Erkennung durch Viren-Programme zu entgehen, nutzt die Malware Image File Execution Options (IFEO) und modifiziert den Registry-Eintrag durch ein rundll32.exe als Debugger und setzt damit die Ausführung der Virenschutzprogramme außer Gefecht.
Nicht zuletzt untersucht der Logger, ob die Malware bereits zuvor auf dem infizierten System installiert war durch Suche nach einem speziellen Dateinamen in Kombination mit der Prozessor-ID und Seriennummer. Nur wenn diese Information nicht vorhanden ist, wird mit dem Auslesen vertraulicher Informationen begonnen.
Der Funktionsumfang des Keyloggers
M00nD3V Logger hat die Fähigkeit, Passwörter und Cookies von allen möglichen Browsern und E-Mail-Clients sowie FTP-Clients zu stehlen. Dabei teilt die Malware drei separate Klassen mit den Namen „ChromiumProvider“, „MailProvider“ und „MozillaProvider“ ein.
Jeder Provider verfügt über eine Funktion zum Abrufen und Entschlüsseln des Passworts für die Anwendung, die diesem Provider zugewiesen wird. Die Malware versucht zunächst, das Passwort mit der Data Protection APT (DPAPI)-Bibliothek zu entschlüsseln. Gelingt dies nicht, kommt „BouncyCastle“ zum Einsatz.
Die Malware besitz darüber hinaus die Fähigkeit, heimlich auf die Webcam des Geräts zuzugreifen und dort Bilder zu erfassen. Dazu wird ein erfasstes Bild in die Zwischenablage kopiert, dann von dort extrahiert und im Temp-Verzeichnis gespeichert.
Um gestohlene Bilder über SMTP zu versenden, liest es den Bildpfad aus und hängt das .bmp-Bild als E-Mail-Anhang mit einer personalisierten Betreffzeile an, z.B. „Sehr geehrter M00nD3v-Benutzer Bitte finden Sie anbei den Anhang von der Webcam. Mit freundlichen Grüßen M00nD3v.“
Ähnlich verhält es sich mit den anderen Modulen wie Tastatureingaben, Zwischenablage und Screen Sender, die mit einzelnen Threads ausgeführt werden und gestohlene Daten an den Angreifer senden. Der Logger verfällt nach einem Auslesevorgang für eine gewisse Zeit in einen Schlafmodus, bevor der gleiche Diebstahlvorgang wiederholt wird.