Die seit Dezember ihr Unwesen treibenden Makrokampagnen werden weiter entwickelt. Ihre Akteure passen die Techniken, Nutzlasten und Ziele immer wieder neu an. [...]
Eine neue Entwicklung besteht darin, den Microsoft Word-Anhang als MIME-formatierte Datei mit MSO-Anhang zu erstellen, der die OLE-Datei mit dem gefährlichen Makrocode enthält. Bei dieser Technik wird das Attachment dem Endanwender als normale DOC-Datei vorgehalten. Jedoch lässt es sich von automatisierten Tools, die keine OLE-Inhalte lesen können, nicht analysieren. Beim Öffnen der Datei wird dem Endanwender die Schaltfläche „Inhalte aktivieren“ angezeigt, die mittlerweile zum vertrauten Alltagsbild gehört.
(Diese Maskierungstechnik scheint interessanterweise häufiger „Blindgänger“ hervorzurufen, durch deren falsch formatiertes MIME das Dokument in Word nicht geöffnet werden kann.)
Im Zuge dieser fortlaufenden Weiterentwicklung wurde der Drahtzieher des Dridex-Botnet #120 – einer der ersten Akteure, die Proofpoint-Forscher bei diesen Kampagnen ermittelten – erst kürzlich dabei ertappt, wie er diese OLE/MIME-formatierte Attacke an Empfänger in Europa leitete, wie beispielsweise bei einer Großkampagne am 10. Juni an polnische Benutzer.
Diese Kampagne war bemerkenswert, da der Akteur seine primäre Nutzlast auf den Banking-Trojaner Rovnix anstelle der eher typischen Dridex-Nutzlast verlagerte. Die Nachrichten wurden am 10. Juni in zwei Läufen zugestellt und enthielten DOC-Anhänge. Beim ersten Lauf erkannte VirusTotal am ersten Tag 0/57 Fälle, und bis zum 16. Juni wurden lediglich 8/57 Fälle von den Antivirus-Engines entdeckt.
Der abgelegte Rovnix nutzt Web-Injektionen, nur um Onlinebanking-Anmeldedaten zu erfassen, und richtet sich gegen polnische und italienische Banken. Diese unterscheiden sich als Ziel von den Banken in den USA und in Großbritannien, die normalerweise mit dem Dridex 120 angegriffen wurden.
Seit der ersten Entdeckung dieser Kampagne hat der Akteur des Dridex 120 dem Anschein nach seinen Schwerpunkt von Polen nach Frankreich verlegt. Forschungen von Proofpoint-Bedrohungsanalytikern ergaben, dass bei einer am 17. Juni eingeleiteten Kampagne die Infektionen französischer Systeme die polnischen Systeme im Verhältnis 150:1 übertrafen. Darüber hinaus lag die Anzahl der Infektionen französischer Systeme bei der Kampagne 11 Mal höher als die Summe infizierter Systeme unter den Top Ten anderer Länder insgesamt. Dies zeigt deutlich, wie schnell die Hacker ihren Schwerpunkt von einem Ziel auf ein anderes verlagern – sei es nach Land, nach Region oder nach Branche.
Derzeit müssen europäische Organisationen sich nicht nur vor neuen Phishing-Nachrichten in Acht nehmen, die an ihre Anwender gerichtet sind, sondern auch auf Anzeichen achten, dass ihre Endanwendersysteme durch diesen gefährlichen Trojaner infiziert wurden. Es besteht die Gefahr, dass diese und andere Akteure ganz unvermittelt Benutzer in anderen Ländern anvisieren. Daher sollten alle Organisationen Vorsichtsmaßnahmen treffen, um sicherzustellen, dass sie diese und zukünftige Versionen der böswilligen Makroattacken erkennen und unterbinden können.
Am Tag, nachdem festgestellt wurde, dass die Akteure des Dridex 120 den Schwerpunkt ihrer Kampagnen intensiv auf französische Empfänger verlagerten, erkannten Proofpoint-Bedrohungsanalytiker zusätzliche Kampagnen mit Ziel Frankreich. Jedoch wurden hier im Gegensatz zu den bei den Dridex-/Rovnix-Kampagnen verwendeten Nutzlasten auf Basis von Anhängen, bei mindestens einer Kampagne URLs angewandt, um Nutzlasten auf den anvisierten Systemen abzulegen.
Der Link aktiviert den Download einer Archivdatei, die den Banking-Trojaner Gootkit installiert, wenngleich auf ungewöhnliche Art: Der URL enthält die Verknüpfung zu einem komprimierten Microsoft Word-Dokument, die mithilfe eines schädlichen Makros eine ausführbare Datei herunter lädt, die wiederum die Gootkit-Malware installiert.
Diese Kombination aus Zustelltechniken verdeutlicht einerseits die fortlaufenden Anpassungen durch die Angreifer, um vorhandene Erkennungstechniken auszutricksen, wie auch ihre Zuversicht, dass einige Endanwender auf böswillige Inhalte klicken werden – was in diesem Fall nicht ein, sondern drei Mal geschah.
Die Nutzlast sowie die Verwendung von URLs statt Anhängen deuten darauf hin, dass es sich hier um einen anderen Akteur handelt – und somit auf einen größeren, weit mehr beängstigenden Trend: Die Angreifer haben Monate damit verbracht, ihre Kampagnen und Zustelltechniken gegen englischsprachige Ziele in den USA und in Großbritannien auszufeilen. Da die Organisationen in diesen Ländern die Kampagnen erkannt haben und sich ihnen entsprechend anpassen, suchen die Hacker nun nach neuen Opfern in anderen Regionen, wo die Abwehrmaßnahmen weniger stabil sein könnten: Die Herausforderung für europäische Organisationen besteht darin, dass sie von Beginn an raffinierteren, effektiveren Kampagnen ausgesetzt sind als die englischsprachigen Ziele, die zuerst betroffen waren – und somit ein noch größeres Infektions- und Verlustrisiko tragen. Wie lange die Angreifer diesen Fokus beibehalten und wie viele andere Akteure noch hinzukommen, hängt von der Fähigkeit französischer Organisationen ab, diese Kampagnen rasch zu erkennen und zu blockieren.
* Monika Schaufler ist Regional Director CEMEA bei Proofpoint.
Be the first to comment