Unauffälligkeit ist die wichtigste Tarnung für moderne Malware. Außer es handelt sich um Ransomware. Dann soll der Benutzer sehr wohl mitbekommen, was vor sich geht. In allen anderen Fällen jedoch ist alles, was eine Schadsoftware "leise" macht, erstrebenswert. In dieser Hinsicht verstößt ein Exemplar, das G DATA-Forscher näher untersucht haben, gegen mehrere Regeln.
Malware zu programmieren ist eine Kunst, die nicht jeder beherrscht (oder beherrschen will). In einer Zeit, in der fertige Malwarebaukästen angeboten werden, muss man sie auch nicht beherrschen. Wer dennoch seine eigene Malware schreiben möchte, der braucht meistens fundierte Programmierkenntnisse, um eine funktionierende Schadsoftware zu erstellen. Warum „Meistens“? Es gibt Werkzeuge, die für Menschen gedacht sind, die nur über elementare Programmierkenntnisse verfügen.
Das richtige Werkzeug
Ein mögliches Werkzeug dafür ist AutoIT. Mit dieser Skriptsprache lassen sich schnell und mit wenig Aufwand Programme erstellen. Eigentlich als Automatisierungswerkzeug für Netzwerkadministratoren gedacht, kann man aber mit AutoIT auch relativ komplexe Programme erstellen und sie in einem Arbeitsgang auch direkt kompilieren. AutoIT ist stark an BASIC angelehnt, eine Programmiersprache, die die Grundlage vieler moderner Programme bildet – die ersten Heimcomputer wurden oft mit BASIC ausgeliefert. Oft wurde die Programmiersprache auch im Informatikunterricht in Schulen gelehrt.
Einem unserer Forscher ist eine Malware aufgefallen, die in AutoIT geschrieben ist. Zwar ist Malware, die mit diesem Werkzeug geschrieben wurde, nicht unüblich, allerdings gibt es bei diesem speziellen Exemplar einige Merkmale, die sie aus der Menge herausstechen lassen: Im Normalfall hat ein Malware-Autor ein Interesse daran, dass seine Kreation sofort beim ersten Start läuft und seine Schadfunktion ausführt. Das untersuchte Exemplar tut augenscheinlich erst einmal nichts, bis man es zum dritten Mal gestartet hat.
Einen erkennbaren Sinn hat diese Vorgehensweise nicht. Es könnte sich um eine Maßnahme handeln, die vor versehentlicher Aktivierung auf dem System des Entwicklers schützen soll. Denkbar ist auch ein Versuch, Sandboxing-Techniken zu überlisten.
Affiliate Marketing
Mit dem Vertriebsmodell „Affiliate-Marketing“ sind viele von uns bereits in Berührung gekommen, ohne sich dessen bewusst zu sein. Vereinfacht ausgedrückt handelt es sich um ein Provisionssystem. Ein Anbieter, der bestimmte Waren oder Dienstleistungen vertreiben möchte, sucht sich Geschäftspartner, die für ihn Werbung auf ihrer Internetseite machen sollen. Für jeden Kunden, der auf der Seite des Werbepartners eine Werbung des Anbieters anklickt, bekommt dieser eine Provision. Um die einzelnen Werbepartner auseinanderhalten zu können, wird eine einmalige Kennung vergeben. Diese kann in einem Link untergebracht werden. Klickt nun jemand auf diese Link, weiß der Anbieter sofort, über welchen Werbepartner der Kunde zum Anbieter gekommen ist und kann ihm darauf eine Provision gutschreiben. Oft wird die Provision pro geklickter Werbung gezahlt – der Anreiz, solche Klicks zu automatisieren und somit seine Provision zu erhöhen, ist somit gegeben. Fällt dem Anbieter allerdings auf, dass die Klicks nicht "organisch" sind, also nicht von Menschen stammen, kann eine solche Affiliate-Partnerschaft schnell beendet werden.
Auffälligkeiten & Klicks für Geld
Die Malware scheint sich in erster Linie gegen Benutzer aus China zu richten. Ziel ist es, die Klickzahlen auf bestimmten Webseiten künstlich in die Höhe zu treiben. Das Modell basiert auf dem so genannten Affiliate-Marketing. Vereinfach ausgedrückt wird ein Benutzer in einer Weise auf eine Webseite geleitet, die dem Webserver signalisiert „Dieser Besucher kommt auf Empfehlung des Partners X auf diese Webseite“. Dafür wird ein bestimmter Betrag als Provision ausgezahlt - ein einfacher Klick bringt dem Autoren der Malware also echtes Geld. Je mehr Klicks generiert werden, desto mehr Geld bekommt er.
Mehr Informationen
Wer sich für weitere technische Details dieser Malware interessiert, kann den vollständigen Analysebericht von Nathan Stern über den unten stehenden Link nachlesen (Dokument in Englischer Sprache).