You're not connected to the Internet.
Know-how

What the digitec phishers are really after

The e-mail containing malicious script recently sent by phishers has now been analysed. Read on to find out how it works and how to get rid of the pest.

After receiving reports of circulating phishing e-mails using digitec as the sender, we warned our users and set out on a mission to get to the bottom of the attack.

phishing_teaser21.jpeg
Know-how
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 43Articles written
  • 0Questions asked
  • 0Questions answered
  • 0Ratings written
  • 0Ratings commented on
  • 0Discussions started
  • 0Posts written
More information...
  • 192 55

Tracing back the digitec phishing e-mails

While others enjoyed a relaxing weekend curled up on their sofas, the team lead by Christian Margadant, Head of Technics at Digitec Galaxus AG, decoded and analysed the malicious code. “We can almost certainly say what exactly the malicious code wants to do to computers”, he says.

Cautious reverse engineering

Margadant carried out the analysis with utmost caution – accidentally running the code could have had severe consequences for the entire Digitec Galaxus AG network. When starting an analysis, you’ve got to be prepared for the worst: deleted data, encrypted files and more. “I looked at the code on a laptop that wasn’t connected to the Internet or the network”, he explains. Furthermore, the laptop contained no personal data that would have been missed should things have gone wrong – so pretty much the opposite of computers used by our customers. “At worst, I would have re-set the laptop and solved the malware problem that way.”

However, he did not use the isolated laptop for long. He soon realised that the computer would be safe as long as he was decoding the code in a safe and isolated context. He did not use any special tools: “Firefox, Developer Console and some websites. Basically that’s it. The important thing when examining a malicious code is to save it in a file that cannot be accidentally executed. In other words, not as a JavaScript file but as a normal text file.”

Step by step towards decoding

The malicious code contained in the e-mails follows a simple pattern. A word file is used as a launch platform for the code before the latter starts carrying out complex functions. Although the more complex part is encoded, it’s easy to decipher. “Somewhere in the code, there is a function that transfers all used characters to the decryption”, says Margadant, “as soon as it has been found, it can be used against the malware to decipher the code.”

Margadant is lucky in the first stage of decoding. Not only does he come across further encrypted blocks but also finds clear text parts that he can read. What’s more: “The code is well-commented so I can just read what the uncoded part is up to.” This points towards the work of amateurs as the comments make it easy for so-called Script Kiddies (someone using ready-made software) to compile and modify codes themselves. However, the other encoded parts look a lot more professional.

So now that the code has been cracked, we can tell you what the Malware actually does.

What the malware does to your computer

The good news: Your data has neither been deleted nor encoded. The bad news: Your money is no longer safe. But first things first.

As a first step, the malware prepares the ground for more complex operations.

  • Your IP is logged
  • Certificates are installed
  • New registry entries are created

Although this in itself is not harmful, it does provide fertile ground for more malware. Particularly the certificates play an important role in the further course of the operations.

The second step involves performing downloads. None of the downloaded programmes are malware or evil per se. On the contrary. In certain parts of the world, they are part of digital survival.

Next, the malware starts TorBrowser and Proxifier. To ensure they keep running in the background, they are called as a Scheduled Task. These background processes are disguised.

  • The Proxifier task is disguised as MicrosoftUpdate
  • The Tor task is disguised as SkypeUpdateTask

This is where it first becomes apparent what the software is actually doing. The Proxifier is given a profile that forwards requests to certain websites via a route that is controlled by third parties. These are as follows:

  • *postfinance.ch
  • cs.directnet.com
  • eb.akb.ch
  • .ubs.com
  • tb.raiffeisendirect.ch
  • *.bkb.ch
  • *.lukb.ch
  • *.zkb.ch
  • *.onba.ch
  • e-banking.gkb.ch
  • *.bekb.ch
  • wwwsec.ebanking.zugerkb.ch
  • netbanking.bcge.ch
  • *.raiffeisen.ch
  • *.credit-suisse.com
  • *.bankaustria.at
  • *.bawagpsk.com
  • *.raiffeisen.at
  • *.static-ubs.com
  • *.bawag.com
  • *.clientis.ch
  • clientis.ch
  • *bcvs.ch
  • *cic.ch
  • www.banking.co.at
  • *oberbank.at
  • www.oberbank-banking.at
  • *baloise.ch
  • *.ukb.ch
  • urkb.ch
  • *.urkb.ch
  • *.eek.ch
  • *szkb.ch
  • *shkb.ch
  • *glkb.ch
  • *nkb.ch
  • *owkb.ch
  • *cash.ch
  • *bcf.ch
  • *.easybank.at
  • ebanking.raiffeisen.ch
  • *.onion
  • *bcv.ch
  • *juliusbaer.com
  • *abs.ch
  • *bcn.ch
  • *blkb.ch
  • *bcj.ch
  • *zuercherlandbank.ch
  • *valiant.ch
  • *wir.ch

We can conclude from the banks listed that the attack was only aimed at bank customers in Switzerland and Austria. In other words, the attackers know precisely who they’re targeting. This script was probably only spread throughout Switzerland and Austria as it would have no effect on bank customers in other countries. Bank customers in Switzerland and Austria, however, are affected as follows: When you access your e-banking system, the traffic is "eavesdropped" on. So what we're dealing with is a standard man-in-the-middle attack.

A man-in-the-middle attack is an attack that forwards the user’s traffic to a host via a third party. There it is “eavesdropped” on.

As Christian Margadant and his team cannot access the pages on the Dark Net, the Head of Technics sees one of two possibilities:

  1. The Dark Net sites are either not yet or no longer online
  2. The Dark Net sites only accept POST requests, i.e. only receives data, but does not accept GET requests, which require users in order to view data from the server in the browser.

How to get rid of the malware

The easiest and by far the most thorough solution to rid your system of the malware is to completely re-install Windows. This was also correctly suggested by the user Deville_TGR in our previous article.

So, just re-install your OS?

Yep. Although it’s not always possible let alone desired, it is recommended. In the event that you can’t or won’t re-install Windows, the following advice applies alongside the first piece of advice mentioned in the first article.

  1. Open your Task Manager and look at the processes
  2. Force close tor.exe and proxifier.exe. According to our current knowledge, you’re not infected if you can’t find these tasks
  3. Go to Start → Run and enter taskschd.msc
  4. Press Enter
  5. Delete both tasks SkypeUpdateTask and MicrosoftUpdate (in Task Scheduler Library)
  6. Go to Start --> Run and enter %appdata%
  7. Press Enter
  8. If there is a folder called TS, delete it
  9. Go to Start --> Run and enter %temp%
  10. Drücke Enter
  11. If there is a folder called TS, delete it
  12. Delete your old Firefox profile and create a new one
  13. Go to Start-->run and enter certmgr.msc
  14. Press Enter
  15. Delete all certificates from COMODO Certificate Authority 1

This method curbs the threat but leaves its traces.

  • 7Zip remains on your system as junk data but isn’t problematic.
    • The registry entries also remain because they are not harmless. Use a software such as CCleaner to clean the registry.

Little effect on Windows 10

Christian Margadant ran the script under controlled conditions. He can now safely say that this was a man-in-the-middle attack. Furthermore, the script is identical to a file originating from a sender claiming to be SBB even though it was actually sent by sbbclient@sbb.rs.

Windows 10 users are lucky. The definitions in Windows Defender v1.231.1459.0 timestamped 08.11.2016/20:24 show that Microsoft’s latest operating system recognises the JavaScript file that wants to run malicious code and stops it in its tracks. Furthermore, no registry entries are made and certificates are only installed after the user confirms.

User

Dominik Bärlocher

Journalist. Author. Hacker. My subjects generally revolve around Android or Apple’s iOS. I also feel strongly about IT security. In this day and age, privacy is no longer a minor matter but a strategy for survival.

57 Comments

User diego.romero

well done, csi:digitec. horation caine würd seine sonnenbrille vor euch ziehen!

16.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Twosaabs

Very interesting! Thank you guys for taking the time and open approach to investigate and explain your findings. You're a fresh change from the usual way companies handle such issues!

17.11.2016
Report abuse

You must log in to report an abuse.

User a.fulgens.87

... and to give detailed instructions how to mitigate the issue, if you are infected. Kudos!

20.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User xama100

Warum wurde denn nicht einfach eine VM verwendet? Die kann man ja einfach in den Papierkorb verschieben, sollte was schief gehen.
Wäre zumindest weniger Aufwand als den Laptop neu aufzusetzen. Just saying ..

16.11.2016
Report abuse

You must log in to report an abuse.

User Drachenherz

Weil es gewisse Schadsoftware gibt, die erkennen kann, dass sie in einer VM-Umgebung ist und dann den bösartigen Code nicht ausführt - und somit unter Umständen nicht analysiert werden kann.

17.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User nicolas_07

This is a great article, thanks for taking the time to write and translate it!

Is there some sort of task force looking at cyber security in Switzerland? Seeing the profile of the targets (Swiss banks) and vectors/victims (Digitec, SBB, etc.), surely this is one of the most major attack aimed at CH

19.11.2016
Report abuse

You must log in to report an abuse.

User BrunelliPrime

In deed there is:
melani.admin.ch/melani/en/h...

20.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User benidi

und wie sieht es bei mac aus?

16.11.2016
Report abuse

You must log in to report an abuse.

User andreas_kocher

Der Angriff wird auf einem Mac nicht einfach so funktionieren. Er verfügt über keine Registry und auch die zusätzlichen Programme sind nicht die selben. Daher könnte sich die Schadsoftware nicht auf dieselbe Weise installieren. Hier müsste das Skript explizit auch für den Mac was parat haben. Kann ich daher nicht abschliessend beurteilen. Mit dem beschriebenen Weg von Digitec wird die Software auf einem Mac aber keinen Erfolg haben können.

17.11.2016
Report abuse

You must log in to report an abuse.

User alain1989

Vermutlich ist diese Malware auf dem Mac unwirksam. Viele verwechseln dies jedoch mit dem Statement Mac ist generell sicherer. Das stimmt nicht wirklich, der einzige Grund warum der Mac so wenig betroffen ist, ist sein extrem geringer Marktanteil.
Niemand wird sich die Mühe machen eine Malware für ein Betriebssystem zu kreieren das nicht einmal 8% Marktanteil hat.

17.11.2016
Report abuse

You must log in to report an abuse.

User abibossotto

@Alain1989: Sorry, aber das ist Unsinn. Die Grundlage von macOS (ex OSX) ist Unix. Unix ist per se weniger anfällig für solche Angriffe... Das hat mit dem Marktanteil nichts zu tun. UNIX-Betriebssysteme gehen anders mit Dateien und Benutzerberechtigungen um.

17.11.2016
Report abuse

You must log in to report an abuse.

User Manu9511

@Abibossotto: Da stimme ich dir voll und ganz zu. Auf ca 55% aller Webserver laufen UNIX-ähnliche Betriebssysteme genauso wie auf ca 10% aller Desktop PCs und bei den Smartphones sind es ungefähr 60%. Es wäre also äusserst lukrativ Malware für UNIX-ähnliche Systeme wie macOS, BSD und Linux (Android gehört auch zu Linux) zu schreiben, um Firmen und nebenbei private Personen zu erpessen oder zu bestehlen. Microsoft hat leider etwas seltsame Vorstellungen von Sicherheit.

17.11.2016
Report abuse

You must log in to report an abuse.

User shakaliv

@abibossotto: Blöd nur das viele Mac-Benutzer (wie auch Windowsbenutzer) zu einfache Passwörter oder noch schlimmer gar kein Passwort benutzen...

18.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User JSFighters

Ich habe das Mail nicht von einer SBB adresse bekommen sondern von Postfinance.cz und zwar heute

18.11.2016
Report abuse

You must log in to report an abuse.

User Dominik Bärlocher

Die Phisher verwenden eine Vielzahl von Adressen. Es ist also gut möglich, dass du Mails von vermeintlich grossen, schweizer Firmen erhältst, die mit einem nahezu identischen Script daherkommen.

18.11.2016
Report abuse

You must log in to report an abuse.

User compr00t

Das Ganze nennt sich Dridex Trojaner und hat nichts mit Digitec per se zu tun, sondern wird in unzähligen Spam-Mails verbreitet. Insofern ist das auch kein Phishing-Mail sondern Spam.

19.11.2016
Report abuse

You must log in to report an abuse.

User puerrom13

Spam ist Werbung.

Phishing dagegen ein Versuch an persönliche Daten zu kommen, zwecks Betrug. Das hier ist also definitiv Phishing!

Wikipedia:
Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den ent

25.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Patrick S. aus B.

Interessanter Bericht, Danke?
Gebt Ihr dieses Wissen auch an die Strafverfolgungsbehörden oder staatliche Stellen wie MELANIE weiter?
Wie sieht es mit Anti-Virusherstellern aus?

18.11.2016
Report abuse

You must log in to report an abuse.

User shakaliv

Hast du den Artikel gelesen? Windows 10 ist sicher in dieser Hinsicht, da zumindest Microsoft schon in Kenntnis gesetzt ist. Man muss davon ausgehen, dass auch Namhafte Antivierenherstellter das Script als gefährlich eingestuft haben!

18.11.2016
Report abuse

You must log in to report an abuse.

User compr00t

Dridex, so heisst die Malware, wird seit knapp einem Jahr mit ähnlichen Pattern verbreitet. MELANIE hat auch schon Infos dazu veröffentlicht, ist also bekannt.

19.11.2016
Report abuse

You must log in to report an abuse.

User Patrick S. aus B.

Danke Compr00t, ich habe den Link inzwischen gefunden: melani.admin.ch/melani/de/h...
(Sorry für den Tippfehler im Namen der Meldestelle. MELANI schreibt sich ohne E am Schluss).

20.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User artempulki

<sarcasm> Could you please also post a step-by-step instruction to install the malware on linux? </sarcasm>

18.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Tobeornottobe

Super Bericht!
Verständnisfragen:
1. Wie kann die heruntergeladene Software installiert werden ohne Administratorrechten? Oder wird beim Öffnen des Anhangs ein Administratorprompt zur Bestätigung geöffnet?

17.11.2016
Report abuse

You must log in to report an abuse.

User Tobeornottobe

2. Bei Banken ist doch relativ einfach zu erkennen, ob ein anderes Zertifikat installiert wurde, da Banken ein Extended Validation (EV) SSL Certificates verwenden und somit der Namen im Browser zusätzlich angezeigt wird (bei Chrome z.B. rechts vom Schloss)?

17.11.2016
Report abuse

You must log in to report an abuse.

User Anonymous

Bei der ersten Frage kann ich dir auch gerade nicht helfen, aber ich nehme stark an, dass es irgendwelche Hintertüren gibt...
Bei der zweiten Frage jedoch: Schaust du dir jedes Mal beim E-Banking dein Zertifikat an/Bemerkst du den Namen rechts vom Schloss? Ich denke, die meisten Nutzer würden eine Änderung dort nicht bemerken.

17.11.2016
Report abuse

You must log in to report an abuse.

User Tobeornottobe

Seit ich weiss wie schnell ein Zertifikat erstellt ist, schaue ich jedes Mal beim E-Banking kurz auf das Schloss :)

17.11.2016
Report abuse

You must log in to report an abuse.

User Dominik Bärlocher

Zu deinen Fragen:

1. Die Phisher aus der vorliegenden Attacke verwenden Software, die ganz ohne Administratorenrechte auskommt. Also brauchen sie gar keine Hintertürchen oder ähnliches.

2. Das ist richtig. Doch der Schein trügt. Ich mache oft auch den Blick zum Zertifikat, aber das heisst noch lange nicht, dass das jeder tut. Wenn jeder so sicherheitsbewusst wäre, wie du und ich, dann hätte das Phishing Mail an sich schon keine Chance.

18.11.2016
Report abuse

You must log in to report an abuse.

User Anonymous

Es wird ein gültiges Zertifikat auf die echte Domain ausgestellt. Das Script installiert ein Root Zertifikat, darum können "die" gültige Zertifikate für jede beliebige Domain ausstellen. Du Vertraust der "bösen" CA.

18.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User compr00t

Und wieso ist Windows 10 "sicherer" als andere Windows Versionen? Es scheint ja Windows Defender zu sein der blockiert und den gibt es auch schon in früheren Versionen...

19.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User ursdaniel

DRum habe ich für bankzahlungen einen eigenen lapi,der wird nicht zum sirfen benutzt und damit werden keine mails gelessen ,der wird wirklich nir für zahlungen benutzt,also sollte der logischerweisse auch sauber bleiben.

20.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User schaedld

Interessant wäre an der ganzen Sache, ob man als Administrator angemeldet sein muss (Registry Einträge). Die meisten lassen sich eh als Admin und geben so jedem Angreifer die Chance dies auszunützen...

20.11.2016
Report abuse

You must log in to report an abuse.

User Toelpel

Administratorenrechte sind nicht erforderlich, Software wird nur entpackt, RegistrySettings werden in HKCU gemacht und Zertifikat im Benutzer-Zertifikatsspeicher installiert.

28.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User mstanescu

". Furthermore, the laptop contained no personal data that would have been missed should things have gone wrong – so pretty much the opposite of computers used by our customers. “At worst, I would have re-set the laptop and solved the malware problem that way.”"

how about just running a VM?

20.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User f.testa

Was passiert auf OSX? Auch gefärlich oder nicht?

23.11.2016
Report abuse

You must log in to report an abuse.

User Toelpel

Nein, keine Gefahr für OSX, die Schadsoftware zielt nur auf Windows-Betriebssysteme

28.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User caliskanvolkan

Very nice article and detailed explanation. Interesting to read and learn about these stuff. Great job Digitec and Dominik. Thank you.

24.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User DrYak

Once again, we Linux users are left in the dust~~~

More seriously : it's strange that they didn't try to MitM-attack also URLs of update website (antivirus, OS) to prevent update of anti-malware and virus definitions. (like blocking access to kaspersky's domain and similar)

24.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User floriansch1

Super das ihr euch die Mühe gemacht habt das Ganze transparent zu machen und gut verständlich mit den Kunden teilt. Technik kann viel schützen, aber nie die Teile die beim Menschen liegen.

26.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User cdesilva

Well done for taking security seriously and taking ownership to help resolve it in this open way. A lot of companies could learn from this (I am looking at you, LinkedIn).

29.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User R3lay

Was bringt das dann? Es verwenden ja alle Banken eine 2-Faktor-Authentifizierung mit Einmalcode, zB bei der UBS würde der Angreifer gerade mal meine Vertragsnummer rausfinden.

16.11.2016
Report abuse

You must log in to report an abuse.

User Anonymous

Ja. Wenn du dich Erfolgreich ein Logst, könntest du auf eine "Fake" seite umgeleitet werden.
Währenddessen könnte theoretischen was abgebucht werden.
Aber vermutlich Nicht in diesem fall. Aber ein Provi...

17.11.2016
Report abuse

You must log in to report an abuse.

User andreas_kocher

Es geht darum, dass die komplette Verbindung zwischen deinem Computer und der Bank mitgelesen wird. Das ist wie wenn du einen Brief zuklebst und er unterwegs geöffnet und wieder verklebt wird. Daher kann der Angreifer sehr wohl mitmischen, sobald du dich erfolgreich im E-Banking eingeloggt hast. Die Zwei-Weg-Authentifizierung hilft hier also nicht wirklich was.

17.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User SRR24x7

" «Im schlimmsten Falle hätte ich den Laptop einfach wieder neu aufgesetzt und das Problem der Malware wäre damit behoben.»
Scheinbar noch nie einen wirklich guten Virus gesehen? Habe schon Schädlinge gesehen die sich im Speicher von Komponenten eingenistet haben, da hilft sowas nicht.

20.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Anonymous

"Detail" am Rande - das ist nicht mal Ansatzweise man ind the middle. Hier geht es darum Passwörter abzureifen.
Es wird eine gefälschte Loginseite auf ubs.com oder whatever eingerichtet. Mit gültigem Zertifikat, grünem Balken und und was dazu gehört. Root Zertifikat, TOR und Proxy - clever gemacht.

17.11.2016
Report abuse

You must log in to report an abuse.

User Softloader

"Denn Proxifier wird mit einem Profil versehen. Es leitet Anfragen an bestimmte Websites über eine von Dritten kontrollierte Route weiter. Diese sind:" Ab da ist es MITM Attack. Sollte logisch nachvollziehbar sein. Die Daten gehen von User 1 -> Router (Hacker) -> Bank. Man in the "middle".

17.11.2016
Report abuse

You must log in to report an abuse.

User Anonymous

Ja, da gebe ich dir recht, ABER ich kenne das Teil, das funktioniert (noch) nicht so.
Statt MITM wird dir eine andere Loginseite angezeigt. Es geht schlicht und einfach darum User und PW abzugreifen. Dank 2 factor authentication nicht ganz so tragisch.

Aus der Ausgangslage kann man aber eine schöne MITM basteln.

17.11.2016
Report abuse

You must log in to report an abuse.

User Softloader

Ich weiss was Du meinst. Was Du aber mit deinem Login und der falschen Seite ansprichst ist die Phishing Methode und hier kombiniert mit einer MITM. Mann kann logischerweise auch einfach eine Phishing Seite einrichten und dann Digitex.ch nennen und hoffen es verschreiben sich viele Personen denen die Domain dann nicht auffällt. Dann wäre es keine MITM aber ein direkter Phishing 'Angriff'. Da diese Methode, hier beschrieben, aber ausgefeilter ist, kommt die MITM als Kombination gelegen.

18.11.2016
Report abuse

You must log in to report an abuse.

User Anonymous

Nein, der Traffic landet nie beim eigentlichen Ziel. Nur weil da eine Proxy verwendet wird ist es noch lange keine MITM. Bei der MITM Attacke kommunizierst du mit dem "echten" Ziel und jemand hört mit. Das ist hier nicht der Fall....

18.11.2016
Report abuse

You must log in to report an abuse.

User compr00t

Falsch. MITM heisst es ist jemand in der Mitte. Er kann mitlesen, verändern oder blockieren. Selbst wenn er Traffic komplett blockiert, bleibt es MITM.

19.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment


Please log in.

You have to be logged in to create a new comment.

Corporate logo