Dridex-Akteur nimmt Europa ins Visier

Die seit Dezember ihr Unwesen treibenden Makrokampagnen werden weiter entwickelt. Ihre Akteure passen die Techniken, Nutzlasten und Ziele immer wieder neu an. [...]

Eine neue Entwicklung besteht darin, den Microsoft Word-Anhang als MIME-formatierte Datei mit MSO-Anhang zu erstellen, der die OLE-Datei mit dem gefährlichen Makrocode enthält. Bei dieser Technik wird das Attachment dem Endanwender als normale DOC-Datei vorgehalten. Jedoch lässt es sich von automatisierten Tools, die keine OLE-Inhalte lesen können, nicht analysieren. Beim Öffnen der Datei wird dem Endanwender die Schaltfläche „Inhalte aktivieren“ angezeigt, die mittlerweile zum vertrauten Alltagsbild gehört.

(Diese Maskierungstechnik scheint interessanterweise häufiger „Blindgänger“ hervorzurufen, durch deren falsch formatiertes MIME das Dokument in Word nicht geöffnet werden kann.)

Im Zuge dieser fortlaufenden Weiterentwicklung wurde der Drahtzieher des Dridex-Botnet #120 – einer der ersten Akteure, die Proofpoint-Forscher bei diesen Kampagnen ermittelten – erst kürzlich dabei ertappt, wie er diese OLE/MIME-formatierte Attacke an Empfänger in Europa leitete, wie beispielsweise bei einer Großkampagne am 10. Juni an polnische Benutzer.

Diese Kampagne war bemerkenswert, da der Akteur seine primäre Nutzlast auf den Banking-Trojaner Rovnix anstelle der eher typischen Dridex-Nutzlast verlagerte. Die Nachrichten wurden am 10. Juni in zwei Läufen zugestellt und enthielten DOC-Anhänge. Beim ersten Lauf erkannte VirusTotal am ersten Tag 0/57 Fälle, und bis zum 16. Juni wurden lediglich 8/57 Fälle von den Antivirus-Engines entdeckt.

Der abgelegte Rovnix nutzt Web-Injektionen, nur um Onlinebanking-Anmeldedaten zu erfassen, und richtet sich gegen polnische und italienische Banken. Diese unterscheiden sich als Ziel von den Banken in den USA und in Großbritannien, die normalerweise mit dem Dridex 120 angegriffen wurden.

Seit der ersten Entdeckung dieser Kampagne hat der Akteur des Dridex 120 dem Anschein nach seinen Schwerpunkt von Polen nach Frankreich verlegt. Forschungen von Proofpoint-Bedrohungsanalytikern ergaben, dass bei einer am 17. Juni eingeleiteten Kampagne die Infektionen französischer Systeme die polnischen Systeme im Verhältnis 150:1 übertrafen. Darüber hinaus lag die Anzahl der Infektionen französischer Systeme bei der Kampagne 11 Mal höher als die Summe infizierter Systeme unter den Top Ten anderer Länder insgesamt. Dies zeigt deutlich, wie schnell die Hacker ihren Schwerpunkt von einem Ziel auf ein anderes verlagern – sei es nach Land, nach Region oder nach Branche.

Derzeit müssen europäische Organisationen sich nicht nur vor neuen Phishing-Nachrichten in Acht nehmen, die an ihre Anwender gerichtet sind, sondern auch auf Anzeichen achten, dass ihre Endanwendersysteme durch diesen gefährlichen Trojaner infiziert wurden. Es besteht die Gefahr, dass diese und andere Akteure ganz unvermittelt Benutzer in anderen Ländern anvisieren. Daher sollten alle Organisationen  Vorsichtsmaßnahmen treffen, um sicherzustellen, dass sie diese und zukünftige Versionen der böswilligen Makroattacken erkennen und unterbinden können.

Am Tag, nachdem festgestellt wurde, dass die Akteure des Dridex 120 den Schwerpunkt ihrer Kampagnen intensiv auf französische Empfänger verlagerten, erkannten Proofpoint-Bedrohungsanalytiker zusätzliche Kampagnen mit Ziel Frankreich. Jedoch wurden hier im Gegensatz zu den bei den Dridex-/Rovnix-Kampagnen verwendeten Nutzlasten auf Basis von Anhängen, bei mindestens einer Kampagne URLs angewandt, um Nutzlasten auf den anvisierten Systemen abzulegen.

Der Link aktiviert den Download einer Archivdatei, die den Banking-Trojaner Gootkit installiert, wenngleich auf ungewöhnliche Art: Der URL enthält die Verknüpfung zu einem komprimierten Microsoft Word-Dokument, die mithilfe eines schädlichen Makros eine ausführbare Datei herunter lädt, die wiederum die Gootkit-Malware installiert.

Diese Kombination aus Zustelltechniken verdeutlicht einerseits die fortlaufenden Anpassungen durch die Angreifer, um vorhandene Erkennungstechniken auszutricksen, wie auch ihre Zuversicht, dass einige Endanwender auf böswillige Inhalte klicken werden – was in diesem Fall nicht ein, sondern drei Mal geschah.

Die Nutzlast sowie die Verwendung von URLs statt Anhängen deuten darauf hin, dass es sich hier um einen anderen Akteur handelt – und somit auf einen größeren, weit mehr beängstigenden Trend: Die Angreifer haben Monate damit verbracht, ihre Kampagnen und Zustelltechniken gegen englischsprachige Ziele in den USA und in Großbritannien auszufeilen. Da die Organisationen in diesen Ländern die Kampagnen erkannt haben und sich ihnen entsprechend anpassen, suchen die Hacker nun nach neuen Opfern in anderen Regionen, wo die Abwehrmaßnahmen weniger stabil sein könnten: Die Herausforderung für europäische Organisationen besteht darin, dass sie von Beginn an raffinierteren, effektiveren Kampagnen ausgesetzt sind als die englischsprachigen Ziele, die zuerst betroffen waren – und somit ein noch größeres Infektions- und Verlustrisiko tragen. Wie lange die Angreifer diesen Fokus beibehalten und wie viele andere Akteure noch hinzukommen, hängt von der Fähigkeit französischer Organisationen ab, diese Kampagnen rasch zu erkennen und zu blockieren.

* Monika Schaufler ist Regional Director CEMEA bei Proofpoint.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*