Egy kártevő a kódját olyan okosan rejtették el a bűnözők, hogy a G DATA elemzője első körben hibás fájlnak hitte. A mélységi elemzés azonban felfedte, hogy tulajdonképpen egy új álcázási módszerről van szó, melynek segítségéve batch és powershell parancsokat lehet elrejteni. 

A G DATA szakértői sikeresen azonosították és elemezték az első olyan, a világhálón szabadon terjedő kártevőt, mely egy új módszert használt rejtőzésre. A DOSfuscation nevű eljárást elsőként Daniel Bohannon, a FireEye kutatója írta le.

A downloader malware programozói az elhomályosítás vagy álcázás (obfuscation) technikát arra használják, hogy a kódot elrejtsék az automatizált elemzést végző szoftverek elől. Használatával továbbá megnehezítik a szakértők munkáját, akik nehezen fejtik vissza, értik meg a kód működését. Így idő és több munka kell ahhoz, hogy megtudják, mi a szándéka a kártevőnek. A kód álcázásakor egyes betűket felcserélnek, ahogy a kártevő kódjának egyes egyéni összetevőit is titkosíthatják.

A G DATA szakértőjének sikerült

A G DATA szakértőjének, Sascha Curylo-nak sikerült az interneten már terjedő kártevő kódját megfejteni. A szakértő eddig nem találkozott hasonló obfuscation technikával. Elmondása szerint, amikor először megnézték a mintát, először azt hitték, hibásan bontották ki a fájlt, és csupán tüzetes átvizsgálása után találták meg a rejtett parancsokat.

Az első körben kinyert kód karakterek véletlenszerű gyűjteményének tűnt. A Windows parancssor a legtöbb karaktert – helyköz, vessző és egyebek – nem értelmezi, figyelmen kívül hagyja, ezeket nyugodtan el lehet távolítani anélkül, hogy a végső eredmény megváltozna. A tisztítás után kapott kifejezést már jobban lehetett olvasni. Például, a hosszú karakterláncban ismétlődő bizonyos minták azt sugallták, hogy az eredmény egy webcím, melyet a további utasításokért keresett fel a kártevő.

Számla és annak változatai

Az elemzett mintát egy ügyfél küldte a G DATA szakértőihez, a Rechnung-Details-DBH[véletlenszerű szám].doc egy végrehajtható makrót tartalmaz, mely további álcázott kódot rejt. A Rechnung a német számla kifejezést takarja. Ez a makró megnyitja a Windows parancssort, majd elindul egy powershell letöltő, és egy másik, Emotet nevű letöltőt tölt le. A kártevőt eredetileg banki trójaihoz használták, de idővel moduláris letöltővé és adatlopóvá fejlesztették. A támadásban használt hasznos tartalom a Trickbot nevű kártevő, melyet az Emotet nevű downloader juttat a számítógépre, és tipikusan online bankok elleni támadásban használják.