Gefälschte Amazon-Geschenkkarte liefert Banking-Trojaner Dridex aus

Cybercrime-Kampagnen im Kontext der Weihnachtszeit und insbesondere dem Online-Shopping

Eine Untersuchung von unserem Gastautor Daniel Frank, Senior Malware Researcher bei Cybereason

[datensicherheit.de, 24.12.2020] Im Laufe des Dezember 2020 hat das Cybereason Nocturnus-Team Cybercrime-Kampagnen aufgespürt, die mit der Weihnachtszeit und insbesondere mit Online-Shopping verbunden sind. 2020 ist aus naheliegender Gründen Gründen ein Jahr, in dem Verbraucher ihre Einkaufsgewohnheiten geändert haben beziehungsweise ändern mussten und jetzt einen Großteil ihrer Einkäufe online erledigen.

Gefälschte Amazon-Geschenkkarte: Endverbraucher beliebtes Ziel für Cyberkriminelle

Endverbraucher sind schon lange ein beliebtes Ziel für Cyberkriminelle. Das durch die COVID-19-Pandemie stark gestiegene Volumen beim Online-Shopping, macht diese Art der Angriffe potenziell noch attraktiver. Laut der Daten des aktuellen IBM U.S. Retail Index, der im August dieses Jahres veröffentlicht wurde „hat die Pandemie die Verlagerung von physischen Ladengeschäften hin zu digitalen Einkäufen um eine Größenordnung von etwa fünf Jahren beschleunigt“ und der „E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen.“

Cyberkriminelle verfolgen diese Trends sehr aufmerksam, um daraus Kapital zu schlagen. Eine kürzlich beobachtete Kampagne nutzt Scams mit gefälschter Amazon-Geschenkkarte, um den berüchtigten Banking-Trojaner Dridex einzuschleusen.

Die wichtigsten Ergebnisse auf einen Blick:

• Bedrohungsakteure nutzen die Weihnachtszeit gezielt aus: Cyberkriminelle profitieren vom steigenden Volumen beim Online-Shopping und nehmen mit Amazon gezielt die Nutzer einer der beliebtesten Shopping-Plattformen ins Visier.
• Ziele in den USA und den westeuropäischen Ländern: Die überwiegende Mehrzahl der Opfer scheint sich in den USA und Westeuropa zu befinden. Dort ist Amazon sehr populär und verfügt über lokale Websites.
• Social Engineering: Die Kampagne verwendet legitim erscheinende E-Mails, Icons und Namenskonventionen,  um die Opfer zu täuschen und zum Herunterladen der bösartigen Anhänge zu verleiten.
• Unterschiedliche Infektionswege: Es sind drei unterschiedliche Infektionswege beobachtet worden: SCR-Dateien, ein bösartiges Dokument und ein VBScript.
• Mehrstufig: Jeder einzelne dieser Infektionsmechanismen enthält mehrere Stufen, entweder wird ein passwortgeschütztes Archiv entpackt, das verschiedene Dateitypen enthält, oder es werden PowerShell-Befehle ausgeführt, um eine Verbindung mit dem C2-Server herzustellen.
• Finale Payload mit schwerwiegenden Folgen: Bei der finalen Payload handelt es sich um den berüchtigten Dridex-Trojaner.

Hintergrund

Dridex ist einer der berüchtigtsten und produktivsten Banken-Trojaner, der in verschiedenen Varianten seit mindestens 2012 kursiert und zuvor als Feodo (AKA Cridex, Bugat) in Erscheinung getreten ist. Es handelt sich um eine schwer fassbare, sogenannte evasive Malware, die E-Banking-Zugangsdaten und andere sensible Informationen stiehlt.

Die Command-and-Control-Server-(C2)-Infrastruktur ist ausgesprochen robust.Die Server fungieren dabei untereinander als Backup. Fällt einer der Server aus, wird eine Verbindung mit dem nächsten in der Reihe hergestellt, so dass Dridex die gestohlenen Daten auch tatsächlich abziehen kann.

Dridex wird am häufigsten über Phishing-E-Mails verbreitet, die Microsoft Office-Dokumente mit bösartigen Makros enthalten. Dridex wird außerdem ständig mit neuen Funktionen aktualisiert, die verhindern sollen, dass die Malware analysiert werden kann. Dridex wird größtenteils von Evil Corp betrieben, einer der finanzstärksten

Cybercrime-Gruppierungen, die bereits seit mehr als einem Jahrzehnt aktiv ist. Einer ihrer bekanntesten Verbündeten ist TA505, ebenfalls eine finanziell motivierte Gruppe, die Dridex seit 2014 vertreibt. TA505 setzt bekanntermaßen weitere Malware wie etwa SDBOT, Servhelper und FlawedAmmyy sowie die C LOP-Ransomware ein.

Die aktuelle Kampagne richtet sich gegen Endverbraucher. Ihnen wird fälschlicherweise mitgeteilt, dass sie eine Amazon-Geschenkkarte bekommen haben. Fällt das Opfer auf den Betrug herein, kann das Ziel über drei ähnliche, aber dennoch unterschiedliche Wege infiziert werden:

• Ein Word-Dokument mit dem typischen bösartigen Makro
• Eine selbstextrahierende SCR-Datei, eine bekannte Technik von Dridex
• Eine VBScript-Datei als E-Mail-Anhang, auch das eine bekannte Technik in Zusammenhang mit Dridex

Weitere Informationen zum Thema:

datensicherheit.de, 09.12.2020
Cybereason: Neue Malware missbraucht facebook und Dropbox