Das Malware-Forschungsteam von Palo Alto Networks, Unit 42, hat einen neuen Remote-Access-Trojaner (RAT) beobachtet, der unter dem Namen »Orcus« zum Preis von 40 US-Dollar verkauft wird. Obwohl Orcus alle typischen Merkmale von RAT-Malware aufweist, bietet Orcus Benutzern die Möglichkeit, eigene Plug-ins zu bauen. Orcus weist zudem eine modulare Architektur auf – für eine bessere Verwaltung und Skalierbarkeit.
Im Oktober 2015 veröffentlichte der Entwickler von Orcus unter dem Alias »Sorzus« einen Thread in einem Hacker-Forum, wo er Feedback einholen wollte, wie er seinen neuen Remote-Access-Trojaner am besten veröffentlichen würde. Ein Forumsbenutzer namens »Armada« bot hier Hilfe an. Seitdem sind »Sorzus« und »Armada« offensichtlich die beiden zentralen Akteure, die den Vertrieb und die Entwicklung von Orcus verwalten.
Orcus wurde in C# entwickelt und hat drei Hauptkomponenten in seiner Architektur: den Orcus Controller, den Orcus Server und die Trojaner-Binärdatei, die auf einem infizierten Computer bereitgestellt wird. Die Angriffsvektoren sind unterschiedlich und reichen von Spear Phishing (mit der Malware-Binärdatei in einer E-Mail) über einen Hyperlink mit Download-Link zur Orcus-Malware bis hin zu Drive-by-Download-Methoden.
Sobald ein Opfer infiziert wurde, verbindet sich normalerweise die RAT-Malware zurück zum Admin-Panel des Angreifers, um Daten zu senden und die Steuerung des infizierten Rechners zu aktivieren. Bei Orcus hingegen erfolgt die Verbindung zurück zu einem Orcus-Server, auf dem kein Admin-Panel vorgehalten wird. Stattdessen nutzt Orcus eine separate Komponente als Admin-Panel (Orcus Controller), über das die Steuerung aller infizierten Maschinen erfolgt. Dieser Aufbau bietet mehrere Vorteile für die Cyberkriminellen. Zum Beispiel sind sie in der Lage, den Zugriff auf den befallenen Computer zu teilen, indem sie auf einen einzigen Orcus Server zugreifen. So kann eine Gruppe von Cyberkriminellen besser zusammenarbeiten und ihre Opfernetzwerke verwalten. Diese sind auch problemlos skalierbar, indem mehrere Orcus Server genutzt werden.
Der Entwickler hat nicht nur einen Controller-Build für Windows erstellt, sondern auch eine Android-App für die Steuerung der infizierten Maschinen über ein Android-Gerät. Eine Android-App für die Controller-Komponente ist auch bei Google Play verfügbar. Orcus weist mehrere Funktionen auf, die eine vollständige Kontrolle über die infizierten Computer ermöglichen, unter anderem: Keylogger, Screengrabs, Remote-Codeausführung, Webcam-Überwachung, Mikrofon-Recorder, Remote-Verwaltung, Passwort-Stealer, Denial of Service, VM-Erkennung und Infostealer.
In Anbetracht der umfassenden Funktionen des Tool-Sets und der einfachen Skalierbarkeit, ist der Erfolg von Orcus keine Überraschung. So wächst seit dem Verkaufsstart Anfang dieses Jahres die Nutzung und Akzeptanz des RAT unter Cyberkriminellen. Angesichts der zunehmenden Beliebtheit, ist es wahrscheinlich, dass künftig mehr cyberkriminelle Kampagnen zu beobachten sein werden, bei denen Orcus das Mittel der Wahl ist.
Die Akteure, die dahinter stecken, verkaufen Orcus über ein angeblich registriertes Unternehmen als »Remote Administration Tool« und behaupten, dass dieses Tool nur für legitime geschäftliche Nutzung ausgelegt ist. Aufgrund der Funktionen, Architektur, Veröffentlichung und des Verkaufs in Hacker-Foren, ist klar, dass es ein böswilliges Tool ist und dass die Zielgruppe Cyberkriminelle sind. Dies ist nicht ungewöhnlich, aber dennoch ein interessanter Fall: Entwickler, die den Code kostenlos oder als Open Source veröffentlich wollen, wenden sich an ein erfahrenes Hacker-Forum, woraus eine Zusammenarbeit und die Vermarktung eines kommerziellen RAT hervorgeht. Im Falle von Orcus gewinnt dieses aufgrund seines breiten Funktionsumfangs und seiner flexiblen Architektur schnell an Akzeptanz in der cyberkriminellen Szene.
www.paloaltonetworks.com
Erpressersoftware: Cyberkriminelle bieten Opfern Chat-Support an
Cyberkriminelle imitieren Webseiten namhafter Softwarefirmen
Cyberkriminelle nutzen auch weiterhin menschliche Schwächen aus
Industrie im Visier von Cyberkriminellen und Nachrichtendiensten
Sicherheitsreport offenbart neue Angriffstaktiken von Cyberkriminellen