Cyberkriminelle werden raffinierter. Statt Tausende Massen-Emails auszusenden, konzentrieren sie sich mit gezielten "Speer-Phishing" Attacken auf ausgesuchte Opfer - im neuesten Fall auf einen PoS Anbieter. [...]
Diese Änderung in der Taktik ist sowohl durch die Beobachtung der letzten Angriffe, als auch durch den Untergrund-Markt an Herstellern und Verkäufern von illegalen Tools zu bemerken. Ein aktuelles Beispiel konnten Experten der RSA letzte Woche in einem Angriff gegen Anbieter von Point-of-Sale-Systeme dokumentieren.
Die Angreifer sendeten E-Mails an bestimmte PoS-Anbieter, wobei sie vorgaben kleineren Unternehmen wie Restaurants anzugehören. Derartige gezielte, individuelle Attacken werden „Advanced Persistent Threads“ Bedrohungen (APTs) zugeordnet.
„Ich maile Ihnen, weil niemand aus Ihrem Unternehmen meine Anrufe beantwortet“, lautet etwa eines dieser bösartigen E-Mails an eine europäischen PoS-Anbieter. „Ich habe ein Problem mit zwei meiner Terminals, ich habe zufällige Computerabstürze. Bitte rufen Sie mich an. Ich habe meine Visitenkarte angehängt!“
Beim Attachment handelte es sich dann um ein bösartiges Word-Dokument, das zwei Microsoft Office Schwachstellen auszunutzen versucht – CVE-2014-1761 und CVE-2012-0158, so die die RSA-Forscher in einem Blog-Post. Der Code umging dabei Antivirus-Erkennung mit einer neuartigen Technik.
Laut den Forschern von FireEye, die den Angriff ebenfalls analysierten, wurde dabei der bereits hinreichend bekannte Trojaner „Vawtrak“ eingesetzt, der Passwörter und digitale Zertifikate stiehlt, Tastenanschläge loggt, Screenshots macht und Remote-Desktop-Zugriff auf infizierte Systeme ermöglicht.
Computer und Netzwerke von PoS-Anbietern zu infiltrieren kann für Angreifer sehr interessant sein, weil sie diesen Zugang nutzen können, um Schaltpläne, Produktkonfigurationen, Kundenlisten und, noch wichtiger, Wartungs oder Remote-Support-Anmeldeinformationen zu stehlen.
Mit diesen Informationen kann man POS-Terminals infiltrieren, für die der Verkäufer technischen Support bietet. In der Tat fanden sowohl die Experten von RSA, als auch FireEye Verbindungen zwischen diesem Angriff und jüngsten Infektionen von Poseidon, einer Malware welche Kreditkartendaten aus dem Speicher von POS-Terminals stiehlt.
Ein weiterer interessanter Aspekt dieser Speer-Phishing-Kampagne gegen PoS-Anbieter war die Verwendung eines neuen Dokument-basierten Exploit-Kits namens Microsoft Word Intruder (MWI), so FireEye.
Exploit-Kits sind Angriffswerkzeuge, die mehrere Exploits bündeln. Sie werden auf dem Untergrund-Markt verkauft um Massen Angriffe durch manipulierte Websites oder bösartige Anzeigen zu starten. In diesem Fall aber offenbar nicht.
„Der Vertreiber von MWI, der auch der Autor ist, vermarktet das Exploit-Kit als ein APT-Tool, das in der Lage ist, einen Angriff auf eine bestimmte Person oder Firma zu fahren. Er warnte seine Kunden unter Androhung der Lizenz-Rücknahme davor, die Software für Massen-Spam zu benutzen.“
Cyberkriminelle Attacken verschieben sich also deutlich weg von den traditionellen Massen-Angriffen, wo das Ziel die Infizierung von möglichst vielen Opfern ist, unabhängig davon, wer sie sind und was sie tun.
*) Der Autor ist Redakteur der IDG Rumänien
Be the first to comment