Bitbucket als Malwareschleuder

Quelle: G DATA CyberDefense AG

Kriminelle haben die öffentliche Code-Repository-Plattform "Bitbucket" missbraucht, um Schadsoftware an potenzielle Opfer auszuliefern. Nachdem G DATA Analysten den Bitbucket-Eigentümer Atlassian kontaktiert hatte, wurde das fragliche Repository vom Netz genommen.

G DATA Analysten haben eine Malware-Schleuder auf der Plattform Bitbucket identifiziert und abgeschaltet. Das fragliche Repository existierte bereits seit dem 16. Januar 2020. Die Experten von G DATA CyberDefense fanden einen Downloader, der auf dieses Repository zugriff, und konnten dort mehrere Malware-Familien identifizieren. Dies betraf vor allem CryptBot, Buer-Loader mit NuclearBot und Cryptominer. Die Dateien wurden alle paar Stunden in unterschiedlichen Intervallen mit neu gepackten Versionen der Malware erneuert.

NuclearBot ist ein Banking-Trojaner. Laut Malpedia haben Kriminelle die Malware im Jahr 2016 für 25000 USD zum Verkauf angeboten. Der Quellcode wurde inzwischen auf der Entwicklerplattform Github veröffentlicht, und der Autor von NuclearBot bereits im vergangenen 2019 verhaftet. Im Dezember 2019 hat das Security-Portal Bleepingcomputer bereits über CryptBot berichtet, weil er über eine gefälschte VPN-Site installiert wurde. Unter anderem stiehlt das Schadprogramm Zugangsdaten für Browser, Krypto-Währungsbörsen, Browser-Cookies und erstellt Screenshots des infizierten Systems. Cryptminer setzen Cyberkriminelle ein, um ohne Wissen des Nutzers Kryptowährungen zu schürfen.

Bitbucket ist eine Plattform, die vor allem von Software-Entwicklern zur Software-Versionierung und Quellcodeverwaltung genutzt wird - ähnlich wie Github. Sowohl Bitbucket als auch Github hatten in der Vergangenheit schon damit zu kämpfen, dass die Plattformen für die Verteilung schon Schadsoftware missbraucht wurde. Zwar existieren Maßnahmen, die das verhindern sollen, allerdings greifen diese angesichts des aktuellen Falles nicht besonders effektiv. Hier gibt es noch großen Nachholbedarf, vor allem wenn es darum geht, zu melden, wenn ein Repository auffällige Aktivitäten aufweist. Ein schnell und einfach zugängliches Meldeformular oder eine Kontaktadresse für solche Fälle existieren nicht, sodass die Spezialisten Schwierigkeiten hatten, überhaupt eine Meldung loszuwerden. Ein weiteres Problem ist, dass man sich erst auf der Plattform registrieren muss, um Problemberichte überhaupt einsenden zu können. Das allein kann schon ein unüberwindlicher Stolperstein sein.

Timeline:

Donnerstag, 16. Januar 2020: Das Repository mit der Nutzer-Kennung "Lewis Shields" wird erstellt. Etwa alle fünf Stunden wird eine aktualisierte Version der bösartigen Binaries hinterlegt. Die Datei 9.exe, die CryptBot enthält, wird in der Folge ca. 1800 mal pro Stunde heruntergeladen.
Freitag, 31.1.2020 (18:20 Uhr): Meldung an Atlassian durch Karsten Hahn, malware Analyst bei der G DATA CyberDefense AG

Montag, 3. Februar 2020 (08:19 Uhr): Kontaktaufnahme mit Karsten Hahn durch einen Atlassian-Mitarbeiter über Twitter. Er erkundigt sich, ob sich jemand des Falles bereits angenommen hätte.

Montag, 3. Februar 2020 (09:08 Uhr): Ein Atlassian-Mitarbeiter erkundigt sich über Twitter nach dem Link zum Repository.

Montag, 3. Februar 2020 (09:40 Uhr): Ein Atlassian-Mitarbeiter informiert per Twitter, dass die Anfrage intern weitergegeben wurde.

Montag, 3. Februar 2020 (12:00 Uhr): Das Repository ist noch erreichbar.

Montag, 3. Februar 2020 (13:19 Uhr): Empfang einer E-Mail von Atlassian: Der Fall wurde bearbeitet. Das Repository ist nicht mehr erreichbar. Zu diesem Zeitpunkt waren seit der ersten Meldung 67 Stunden vergangen.

"Vom Zeitpunkt der Entdeckung bis zum Abschalten wurden mehr als 355.000 Malware-Downloads ausgeführt. Wir gehen aber davon aus, dass mindestens zwei Drittel der Downloads nicht zu einer Infektion geführt haben.", sagt Karsten Hahn, Malware Analyst bei der G DATA CyberDefense AG. "Diese nicht infektiösen Downloads stammen unserer Einschätzung nach von automatischen Analysesystemen oder sie sind auf Antivirus-Produkte zurückzuführen, die zwar nicht den Downloader, dafür aber das CryptBot-Sample an der Ausführung gehindert haben." 

www.gdata.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker

Phishing-Angriffe nehmen Spender ins Visier

Phishing bleibt die häufigste Methode für Cyberangriffe. Und gerade in Zeiten von grassierenden Epidemien oder Naturkatastrophen, in denen viele User über Spenden die Betroffenen unterstützen möchten, werden die Helfer nicht selten selbst zu Opfern. Ein…
Hacker Bluetooth

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen.
Insider Threat

Insider-Bedrohungen sind meist das Ergebnis fahrlässigen Verhaltens

Proofpoint veröffentlichte seine weltweite Studie zum Thema Insider-Bedrohungen 2020. So zeigt der Bericht, dass Unternehmen im Durchschnitt jährlich 11,45 Millionen Dollar für die Beseitigung von Insider-Bedrohungen ausgaben und mehr als zwei Monate (77…
Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!