Malware: Blackcoffee nutzt Forum für C&C-Vermittlung

Die Malware heißt Blackcoffee, und sie bekommt die IP-Adressen ihrer C&C-Server von legitimen Webseiten. Entdeckt wurde die DNS-ähnliche Infrastruktur auf Microsofts Webseite Technet. Kompromittiert wurden deren Server aber nicht. Stattdessen versteckten die Angreifer die IP-Adressen in Postings und Profilinformationen. Dadurch können sie Anfragen ihrer Malware verschleiern und zudem eine immer erreichbare Quelle für IP-Adressen liefern.

Die IP-Adressen werden im Code der Postings versteckt und sind selbst nochmals kodiert, was deren Entdeckung erschweren soll. Im Falle von Technet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION untergebracht. Im Netzwerk mit dem infizierten Server sind bei solchen Anfragen immer nur die legitimen IP-Adressen etwa von Technet zu sehen.

Malware-Befehle als normaler Netzwerkverkehr getarnt

Blackcoffee holt sich von den manipulierten Webseiten eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server. Die Malware wurde bereits 2013 entdeckt und versucht seit jeher, Verbindungen als legitimen Netzwerkverkehr zu tarnen, etwa in Form von Anfragen an Suchmaschinen.

Dass Malware sich verstärkt über soziale Medien verbreitet und dort auch C&C-Server-Adressen platziert, ist indes nicht neu. Das IT-Sicherheitsunternehmen Fireeye, das die aktuelle Infektion auf den Technet-Webseiten zusammen mit Microsoft entdeckte und analysierte, befürchtet jedoch eine weitere Steigerung solcher Taktiken. Außerdem geht das Unternehmen davon aus, dass Angreifer auch andere Foren-Seiten so für ihre Zwecke missbrauchen.

Microsoft hat inzwischen reagiert und seine Webseiten dagegen gewappnet. Außerdem wurden die Signaturen von Blackcoffee in seine Anti-Malware-Software integriert.

Das unter anderem von der CIA finanziell unterstützte Unternehmen Fireeye will Blackcoffee übrigens chinesischen Hackern zugeordnet haben.