Allcome: Clipbanker-Malware ist der Newcomer in Untergrundforen

Die Schadsoftware „Allcome“ hat es in erster Linie auf Kryptowährungen und Paypal-Zahlungen abgesehen. Dazu manipuliert Allcome die Zwischenablage des Windows-Betriebssystems. Diese Manipulation geschieht, wenn beispielsweise eine Person einer anderen via PayPal Geld überweisen möchte.  Wenn der Absender der Zahlung die Empfängeradresse aus einer Mail oder einem Dokument in das entsprechende Feld kopiert, dann ersetzt Allcome diese Adresse durch eine andere – die Zahlung geht dann also an eine falsche Adresse. Dasselbe gilt für Transaktionen in Kryptowährungen. Verbreitet wird Allcome unter anderem über illegale Softwaredownloads.

Marketing ist alles!

Dass Kriminelle mittlerweile auch einiges in ihr Marketing investieren, ist kein neues Phänomen. Viele Marketingkampagnen und -materialien sind so aufwändig gestaltet, dass man den Eindruck bekommen könnte, hier handele es sich um ein legitimes Produkt. So versuchen die Malware-Autoren gerade mit grossem Marketingaufwand, den kriminellen Untergrundmarkt aufzumischen. Die Werbung betont, dass Allcome den Diebstahl vieler verschiedener Kryptowährungs-Wallets und Zahlungsformen unterstützt, wobei wöchentlich neue Zahlungsformen hinzukommen. Kriminelle Kunden können auch ihre eigenen Währungsdiebstahl-Fähigkeiten hinzufügen, indem sie einen privaten Query Builder kaufen. Die Preise für diesen Malware-as-a-Service beginnen bei 25 US-Dollar für einen Basis-Monat und reichen über ein Premium-Angebot bis hin zu 220 US-Dollar für eine lebenslange VIP-Lizenz.

Ein Blick ins Innere

Allcome ist ein relativ kleines (120 KB) natives C/C++-Programm. Alle aktuellen Versionen haben den gleichen Mechanismus, um sich dauerhaft im System einzunisten. Sie kopieren sich selbst in %LOCALAPPDATA%\CrashDumps\subst.exe und richten dann eine geplante Aufgabe namens NvTmRep_CrashReport3_{B2FE1952-0186} ein, um den Clipper jede Minute auszuführen. Der Clipper erstellt eine Mutex mit dem Namen 08841d-18c7-4e2d-f7e29d und überprüft dann, ob der Dateiname mit "subst" beginnt. Ist dies nicht der Fall, wendet er den oben beschriebenen Mechanismus zur Aufrechterhaltung an.

Der Clipper holt sich die verschlüsselte C2-URL aus den PE-Ressourcen und entschlüsselt sie. Diese enthält nicht nur die C2-Domäne, sondern liefert auch einen Benutzernamen des kriminellen Kunden als Argument. Der Server antwortet entweder mit '+' oder '-', je nachdem, ob der kriminelle Kunde eine gültige Lizenz für den Clipper hat. Wenn der Server mit '-' antwortet, wird der Clipper keine Informationen stehlen. Wenn die Antwort etwas anderes ist, beginnt der Clipper mit dem Überprüfen und dem eventuellen Ersetzen des Inhalts der Zwischenablage.

Adressen tauschen und abkassieren

Die Kernfunktionalität liegt im Überprüfen und Ersetzen des Inhalts der Zwischenablage. Wie jeder Clipbanker ersetzt Allcome die Adressen von Kryptowährungen durch die Adresse des Angreifers, so dass die Transaktionen in der Geldbörse des Angreifers ankommen. Das Gleiche gilt für PayPal-Adressen, URLs von Steam-Handelsangeboten und mehr.

Dabei erweist sich dieser Code als recht einfach. Der Clipper prüft hauptsächlich die Länge von Strings und ein oder zwei Zeichen (meist den Anfang des Strings). Er kümmert sich nicht darum, woher der Inhalt kommt, und er unternimmt keine Anstrengungen, um falsche Ersetzungen von Inhalten in der Zwischenablage zu vermeiden.

Das beste Beispiel ist die Ersetzung für PayPal. Wenn diese Option verwendet wird, wird jede Zeichenkette, die ein "@" und ein anschliessendes "." enthält, durch die E-Mail-Adresse des Angreifers ersetzt. Jedes Mal, wenn eine Person eine E-Mail-Adresse kopiert, wird diese geändert, auch wenn sie nur dazu verwendet wird, E-Mails an jemanden zu schreiben. Der Angreifer mag zwar nichts dagegen haben, Liebesbriefe zu erhalten, doch bedeutet dies auch, dass die Infektion auffällig ist und die Benutzer der infizierten Systeme frühzeitig merken, dass etwas nicht stimmt.

Fazit: Einfacher Schädling

Im Gegensatz zu seinem aufwendigen Marketing-Banner ist Allcome Clipbanker unter der Haube sehr einfach. Vor allem seine Hauptfunktionalität, das Ersetzen der Zwischenablage, ist nicht durchdacht. Ein klarer Vorteil für die Opfer, weil sie sehr schnell bemerken, dass etwas nicht stimmt. Vorsicht ist also geboten, wenn Nutzer*innen unübliches Verhalten der Zwischenablage erkennen, zum Beispiel, wenn sich beim Einfügen eine Mailadresse plötzlich ändert. Wer also PayPal-Zahlungen vornimmt oder mit Kryptowährungen hantiert, sollte sich bei einer Transaktion immer einige Sekunden nehmen, um die eingefügten Daten zu überprüfen.

Nichtsdestotrotz scheint Allcome eine gewisse Verbreitung gefunden zu haben. Eine schnelle VirusTotal-Suche ergab mehr als 50 Allcome unterschiedliche Samples.