Windows-malware Slub misbruikt Slack en GitHub om data te stelen

Onderzoekers van Trend Micro zeggen een nieuwe malware te hebben gevonden, die Slack-kanalen, GitHub en file.io gebruikt om data te stelen van Windows pc’s. De malware heet Slub en is onderdeel van een ‘watering hole’, wat een type aanval is dat bestaat uit het compromitteren van een website die waarschijnlijk door de doelgroep bezocht wordt.

De onbekende website in kwestie zou interessant zijn voor mensen geïnteresseerd in “politieke activiteiten”, aldus Trend Micro. De campagne zou eind februari begonnen zijn, meldt ZDNet.

Infiltreren

De website stuurde iedere bezoeker één keer naar een malafide website die misbruik maakte van CVE-2018-8174, een remote-code execution VBScript engine-kwetsbaarheid die misbruikt kan worden via Internet Explorer. De kwetsbaarheid werd in mei 2018 door Microsoft gedicht. Mensen die Windows draaien zonder die patch, zijn mogelijk geïnfecteerd met Slub.

Als iemand geïnfecteerd is, download de eerste malware een andere set aan bestanden met Slub, die vervolgens controleren of er antivirussoftware aanwezig is. Is dat het geval, dan vertrekt de malware simpelweg. Het lijkt er op dat de malware vooralsnog onder de radar van veel antivirusproducten heeft gevlogen.

Ook misbruikt de malware een oudere Windows-bug, namelijk CVE-2015-1705. Dat is een kwetsbaarheid die door aanvallers gebruikt werd omdat het gebruikt kon worden om om een sandbox van een Windows-applicatie heen te komen.

Werking

Zodra een machine volledig geïnfiltreerd is, gebruikt het achterdeurtje een privé-kanaal op Slack om commando’s te controleren die van ‘gist’-snippets op GitHub afkomen. Vervolgens worden de commando’s naar een privé-kanaal op Slack dat aangestuurd wordt door de aanvaller gestuurd.

De geïnfecteerde machine uploadt ook bestanden naar de file.io-website, waar het mogelijk is om bestanden te delen. De aanvaller haalt daar de gestolen bestanden weer vanaf.  Slub-aanvallers hebben volgens onderzoekers van Trend Micro een “sterke interesse in aan personen gerelateerde informatie, met een speciale focus op communicatiesoftware”.

De achterdeur bevat ook commando’s om de desktopmap van een doelwit te comprimeren en te stelen. Daarnaast creëert het een bestand met de file tree van de dekstop van de gebruiker, en zoekt het naar offline data opgeslagen in Skype en informatie over gewoontes van de gebruiker op Twitter, KakaoTalk en BBS. Tot slot kopieert het alle .hwp-bestanden, een extensie gebruikt door een Koreaanse woordverwerkings-app.

Maatregelen

Trend Micro zegt dat het het Canadese Centre for Cyber Security heeft geïnformeerd. Dat centrum werkte samen met de eigenaar van de watering hole-website, om de redirect naar de malware te verwijderen. Slack heeft de Workspace die gebruikt werd door de aanvaller gesloten, wegens een schending van zijn algemene voorwaarden. GitHub heeft de bestanden van zijn dienst afgehaald.