Bochum (ots) – Kriminelle haben die öffentliche Code-Repository-Plattform
„Bitbucket“ missbraucht, um Schadsoftware an potenzielle Opfer auszuliefern.
Nachdem G DATA Analysten den Bitbucket-Eigentümer Atlassian kontaktiert hatte,
wurde das fragliche Repository vom Netz genommen.
G DATA Analysten haben eine Malware-Schleuder auf der Plattform Bitbucket
identifiziert und abgeschaltet. Das fragliche Repository existierte bereits seit
dem 16. Januar 2020. Die Experten von G DATA CyberDefense fanden einen
Downloader, der auf dieses Repository zugriff, und konnten dort mehrere
Malware-Familien identifizieren. Dies betraf vor allem CryptBot, Buer-Loader mit
NuclearBot und Cryptominer. Die Dateien wurden alle paar Stunden in
unterschiedlichen Intervallen mit neu gepackten Versionen der Malware erneuert.
NuclearBot ist ein Banking-Trojaner. Laut Malpedia haben Kriminelle die Malware
im Jahr 2016 für 25000 USD zum Verkauf angeboten. Der Quellcode wurde inzwischen
auf der Entwicklerplattform Github veröffentlicht, und der Autor von NuclearBot
bereits im vergangenen 2019 verhaftet. Im Dezember 2019 hat das Security-Portal
Bleepingcomputer bereits über CryptBot berichtet, weil er über eine gefälschte
VPN-Site installiert wurde. Unter anderem stiehlt das Schadprogramm Zugangsdaten
für Browser, Krypto-Währungsbörsen, Browser-Cookies und erstellt Screenshots des
infizierten Systems. Cryptminer setzen Cyberkriminelle ein, um ohne Wissen des
Nutzers Kryptowährungen zu schürfen.
Bitbucket ist eine Plattform, die vor allem von Software-Entwicklern zur
Software-Versionierung und Quellcodeverwaltung genutzt wird – ähnlich wie
Github. Sowohl Bitbucket als auch Github hatten in der Vergangenheit schon damit
zu kämpfen, dass die Plattformen für die Verteilung schon Schadsoftware
missbraucht wurde. Zwar existieren Maßnahmen, die das verhindern sollen,
allerdings greifen diese angesichts des aktuellen Falles nicht besonders
effektiv. Hier gibt es noch großen Nachholbedarf, vor allem wenn es darum geht,
zu melden, wenn ein Repository auffällige Aktivitäten aufweist. Ein schnell und
einfach zugängliches Meldeformular oder eine Kontaktadresse für solche Fälle
existieren nicht, sodass die Spezialisten Schwierigkeiten hatten, überhaupt eine
Meldung loszuwerden. Ein weiteres Problem ist, dass man sich erst auf der
Plattform registrieren muss, um Problemberichte überhaupt einsenden zu können.
Das allein kann schon ein unüberwindlicher Stolperstein sein.
Timeline:
Donnerstag, 16. Januar 2020: Das Repository mit der Nutzer-Kennung „Lewis
Shields“ wird erstellt. Etwa alle fünf Stunden wird eine aktualisierte Version
der bösartigen Binaries hinterlegt. Die Datei 9.exe, die CryptBot enthält, wird
in der Folge ca. 1800 mal pro Stunde heruntergeladen.
Freitag, 31.1.2020 (18:20 Uhr): Meldung an Atlassian durch Karsten Hahn, malware
Analyst bei der G DATA CyberDefense AG
Montag, 3. Februar 2020 (08:19 Uhr): Kontaktaufnahme mit Karsten Hahn durch
einen Atlassian-Mitarbeiter über Twitter. Er erkundigt sich, ob sich jemand des
Falles bereits angenommen hätte.
Montag, 3. Februar 2020 (09:08 Uhr): Ein Atlassian-Mitarbeiter erkundigt sich
über Twitter nach dem Link zum Repository.
Montag, 3. Februar 2020 (09:40 Uhr): Ein Atlassian-Mitarbeiter informiert per
Twitter, dass die Anfrage intern weitergegeben wurde.
Montag, 3. Februar 2020 (12:00 Uhr): Das Repository ist noch erreichbar.
Montag, 3. Februar 2020 (13:19 Uhr): Empfang einer E-Mail von Atlassian: Der
Fall wurde bearbeitet. Das Repository ist nicht mehr erreichbar. Zu diesem
Zeitpunkt waren seit der ersten Meldung 67 Stunden vergangen.
„Vom Zeitpunkt der Entdeckung bis zum Abschalten wurden mehr als 355.000
Malware-Downloads ausgeführt. Wir gehen aber davon aus, dass mindestens zwei
Drittel der Downloads nicht zu einer Infektion geführt haben.“, sagt Karsten
Hahn, Malware Analyst bei der G DATA CyberDefense AG. „Diese nicht infektiösen
Downloads stammen unserer Einschätzung nach von automatischen Analysesystemen
oder sie sind auf Antivirus-Produkte zurückzuführen, die zwar nicht den
Downloader, dafür aber das CryptBot-Sample an der Ausführung gehindert haben.“
Unser Analyst Karsten Hahn steht bei Rückfragen für ein Gespräch gerne zur
Verfügung.
Pressekontakt:
G DATA CyberDefense AG
Kathrin Beckert-Plewka
PR-Managerin
Phone: +49 (0) 234 – 9762 507
Vera Haake
Sprecherin Event- und Standortkommunikation
Phone: +49 (0) 234 – 9762 376
Hauke Gierow
Pressesprecher
Phone: +49 (0) 234 – 9762 665
Stefan Karpenstein
PR-Manager
Phone: +49 (0) 234 – 9762 517
E-Mail: presse@gdata.de
Internet: www.gdata.de
G DATA CyberDefense AG, G DATA Campus, Königsallee 178,
44799 Bochum, Deutschland
Weiteres Material: https://www.presseportal.de/pm/65324/4513449
OTS: G DATA CyberDefense AG
Original-Content von: G DATA CyberDefense AG, übermittelt durch news aktuell
